ibm i: netzwerkauthentifizierungsservice€¦ · ibm confidential ibm confidential ibm confidential...

146
IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM i Version 7.2 Sicherheit Netzwerkauthentifizierungsservice

Upload: others

Post on 19-Oct-2020

22 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

IBM iVersion 7.2

SicherheitNetzwerkauthentifizierungsservice

���

Page 2: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Page 3: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

IBM iVersion 7.2

SicherheitNetzwerkauthentifizierungsservice

���

Page 4: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

HinweisVor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter„Bemerkungen” auf Seite 135 gelesen werden.

Diese Ausgabe bezieht sich auf IBM i 7.2 (Produktnummer 5770-SS1) und alle nachfolgenden Releases und Modifi-kationen, bis dieser Hinweis in einer Neuausgabe geändert wird. Diese Version kann nicht auf allen RISC-Modellen(RISC = Reduced Instruction Set Computer) ausgeführt werden. Auf CICS-Modellen ist sie nicht ausführbar.

Dieses Dokument kann Verweise auf den lizenzierten internen Code enthalten. Lizenzierter interner Code ist Ma-schinencode und wird unter den Bedingungen der IBM Lizenzvereinbarung für Maschinencode lizenziert.

Diese Veröffentlichung ist eine Übersetzung des HandbuchsIBM i Version 7.2, Security, Network authentication service,herausgegeben von International Business Machines Corporation, USA

© Copyright International Business Machines Corporation 1998, 2013

Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiznicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen.

Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und ver-fügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle.

Änderung des Textes bleibt vorbehalten.

Herausgegeben von:TSC GermanyKst. 2877April 2014

Page 5: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Inhaltsverzeichnis

Netzwerkauthentifizierungsservice . . . 1PDF-Datei für den Netzwerkauthentifizierungsservice 1Konzepte für Netzwerkauthentifizierungsservice . . 2

Kerberos-Konzepte . . . . . . . . . . . 2Funktionsweise des Netzwerkauthentifizierungs-service . . . . . . . . . . . . . . . 3Protokolle für Netzwerkauthentifizierungsservice 7Umgebungsvariablen für Netzwerkauthentifizie-rungsservice . . . . . . . . . . . . . 9

Szenarios: Netzwerkauthentifizierungsservice in ei-nem Kerberos-Netzwerk verwenden . . . . . . 13

Szenario: Kerberos-Server in PASE für i konfigu-rieren . . . . . . . . . . . . . . . 13

Planungsarbeitsblätter ausfüllen . . . . . 15Kerberos-Server in IBM i PASE konfigurieren 17Verschlüsselungswerte auf dem IBM i PASE-Kerberos-Server ändern . . . . . . . . 18Kerberos-Server in PASE für i stoppen und er-neut starten . . . . . . . . . . . . 18Host-Principals für Windows-Workstations er-stellen . . . . . . . . . . . . . . 18Benutzer-Principals auf dem Kerberos-Servererstellen . . . . . . . . . . . . . 19Service-Principal von System A zum Kerberos-Server hinzufügen . . . . . . . . . . 19Windows-Workstations konfigurieren . . . . 19Netzwerkauthentifizierungsservice konfigurie-ren . . . . . . . . . . . . . . . 20Ausgangsverzeichnis für Benutzer auf SystemA erstellen . . . . . . . . . . . . . 21Netzwerkauthentifizierungsservice testen . . 21

Szenario: Netzwerkauthentifizierungsservice kon-figurieren . . . . . . . . . . . . . . 22

Planungsarbeitsblätter ausfüllen . . . . . 24Netzwerkauthentifizierungsservice auf SystemA konfigurieren . . . . . . . . . . . 25Principal von System A zum Kerberos-Serverhinzufügen . . . . . . . . . . . . 26Ausgangsverzeichnis für Benutzer auf SystemA erstellen . . . . . . . . . . . . . 27Netzwerkauthentifizierungsservice auf SystemA testen . . . . . . . . . . . . . 27

Szenario: Cross-Realm-Vertrauensbeziehung kon-figurieren . . . . . . . . . . . . . . 28

Planungsarbeitsblätter ausfüllen . . . . . 31Ordnungsgemäßen Start des Kerberos-Serversin IBM i PASE auf System B überprüfen . . . 32Principal für Cross-Realm-Vertrauensbezie-hung auf dem IBM i PASE-Kerberos-Server er-stellen . . . . . . . . . . . . . . 33Verschlüsselungswerte auf dem IBM i PASE-Kerberos-Server ändern . . . . . . . . 34Windows-Server zur Anerkennung von SHIP-DEPT.MYCO.COM konfigurieren . . . . . 34Realm SHIPDEPT.MYCO.COM zu System Ahinzufügen . . . . . . . . . . . . 34

Szenario: Konfiguration des Netzwerkauthentifi-zierungsservice an mehrere Systeme weitergeben . 35

Planungsarbeitsblätter ausfüllen . . . . . 39Systemverwaltungsgruppe erstellen . . . . 40Systemeinstellungen vom Modellsystem (Sys-tem A) an System B und System C weiterge-ben . . . . . . . . . . . . . . . 41Principals für Endpunktsysteme zur Win-dows-Domäne hinzufügen . . . . . . . 42

Szenario: Kerberos-Authentifizierung zwischenManagement Central-Servern verwenden . . . 43

Planungsarbeitsblätter ausfüllen . . . . . 45Zentrales System zur Verwendung der Kerbe-ros-Authentifizierung konfigurieren . . . . 46Systemverwaltungsgruppe MyCo2 erstellen . 47Systemwerte-Inventar erfassen . . . . . . 47Kerberos-Einstellungen im System i Navigatorvergleichen und aktualisieren . . . . . . 48Management Central-Server auf dem zentralenSystem und den Zielsystemen erneut starten . 48Kerberos-Service-Principal für jeden Endpunktzur Datei für anerkannte Gruppen hinzufügen 48Hinzufügung der Kerberos-Principals zur Da-tei für anerkannte Gruppen überprüfen . . . 49Gesicherte Verbindungen für das zentrale Sys-tem zulassen . . . . . . . . . . . . 49Schritte 4 bis 6 für Zielsysteme wiederholen 50Authentifizierung auf den Endpunktsystementesten . . . . . . . . . . . . . . 50

Szenario: Einzelanmeldung für IBM i aktivieren 51Planungsarbeitsblätter ausfüllen . . . . . 56Einzelanmeldungsbasiskonfiguration für Sys-tem A erstellen . . . . . . . . . . . 61System B zur Nutzung der EIM-Domäne undfür den Netzwerkauthentifizierungsservicekonfigurieren . . . . . . . . . . . . 63Beide IBM i-Service-Principals zum Kerberos-Server hinzufügen . . . . . . . . . . 65Benutzerprofile auf System A und System Berstellen . . . . . . . . . . . . . 66Ausgangsverzeichnisse auf System A und Sys-tem B erstellen . . . . . . . . . . . 66Netzwerkauthentifizierungsservice auf SystemA und System B testen . . . . . . . . 66EIM-Kennungen für die beiden Administrato-ren John Day und Sharon Jones erstellen . . 67Kennungszuordnungen für John Day erstellen 67Kennungszuordnungen für Sharon Jones er-stellen . . . . . . . . . . . . . . 69Standardrichtlinienzuordnungen für Registererstellen . . . . . . . . . . . . . 70Register für die Teilnahme an Suchoperationenund die Verwendung von Richtlinienzuord-nungen aktivieren . . . . . . . . . . 71EIM-Identitätsabgleiche testen . . . . . . 72

iii

Page 6: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

IBM i Access Client Solutions-Anwendungenfür den Einsatz der Kerberos-Authentifizie-rung konfigurieren . . . . . . . . . . 75Netzwerkauthentifizierungsservice und EIM-Konfiguration überprüfen . . . . . . . 75Hinweise zur Konfigurationsnachbereitung . . 76

Netzwerkauthentifizierungsservice planen . . . . 77Kerberos-Server planen . . . . . . . . . 78Realms planen . . . . . . . . . . . . 79Principal-Namen planen . . . . . . . . . 81Hinweise zur Auflösung von Hostnamen . . . 83

Hostnamen auflösen . . . . . . . . . 86Planungsarbeitsblätter für Netzwerkauthentifizie-rungsservice . . . . . . . . . . . . . 88

Netzwerkauthentifizierungsservice konfigurieren . . 91Kerberos-Server in PASE für i konfigurieren . . 92

Verschlüsselungswerte auf dem Kerberos-Ser-ver ändern . . . . . . . . . . . . 93Kerberos-Server stoppen und erneut starten 93Host-, Benutzer- und Service-Principals erstel-len . . . . . . . . . . . . . . . 93Windows-Workstations konfigurieren . . . . 94Sekundären Kerberos-Server konfigurieren . . 95

Netzwerkauthentifizierungsservice konfigurieren 97IBM i-Principals zum Kerberos-Server hinzu-fügen . . . . . . . . . . . . . . 98Ausgangsverzeichnis erstellen . . . . . . 101Konfiguration des Netzwerkauthentifizie-rungsservice testen . . . . . . . . . 101

Netzwerkauthentifizierungsservice verwalten. . . 102Systemzeiten synchronisieren . . . . . . . 103Realms hinzufügen . . . . . . . . . . 103Realms löschen . . . . . . . . . . . . 103Kerberos-Server zu Realm hinzufügen . . . . 104Kennwortserver hinzufügen . . . . . . . 104Vertrauensbeziehung zwischen Realms aufbauen 105Hostauflösung ändern . . . . . . . . . 105Einstellungen für Verschlüsselung hinzufügen 106

Ticket-granting Tickets anfordern oder verlän-gern . . . . . . . . . . . . . . . 106

kinit . . . . . . . . . . . . . . 107Cache für Berechtigungsnachweise anzeigen . . 109

klist . . . . . . . . . . . . . . 109Chiffrierschlüsseldateien verwalten . . . . . 111

keytab . . . . . . . . . . . . . . 112Kerberos-Kennwörter ändern . . . . . . . 113

kpasswd . . . . . . . . . . . . . 115Verfallene Cachedateien für Berechtigungsnach-weise löschen . . . . . . . . . . . . 115

kdestroy . . . . . . . . . . . . . 116Kerberos-Service-Einträge in LDAP-Verzeichnis-sen verwalten . . . . . . . . . . . . 117

ksetup . . . . . . . . . . . . . . 119Realms in der DNS-Datenbank definieren . . . 120Realms im LDAP-Server definieren . . . . . 121

Schema auf einem LDAP-Server definieren 123Fehler beim Netzwerkauthentifizierungsservice be-heben . . . . . . . . . . . . . . . . 124

Fehler und Fehlerbehebung beim Netzwerkau-thentifizierungsservice . . . . . . . . . 124Fehler und Fehlerbehebung bei der Anwen-dungsverbindung . . . . . . . . . . . 125API-Trace-Tool . . . . . . . . . . . . 129

API-Trace-Tool konfigurieren . . . . . . 129Auf die API-Traceprotokolldatei zugreifen 130

Fehler des Kerberos-Servers in IBM i PASE be-heben . . . . . . . . . . . . . . . 130

Befehle für den Netzwerkauthentifizierungsservice 131Referenzinformationen für Netzwerkauthentifizie-rungsservice . . . . . . . . . . . . . . 132

Bemerkungen . . . . . . . . . . . 135Informationen zu Programmierschnittstellen . . . 136Marken . . . . . . . . . . . . . . . 137Bedingungen . . . . . . . . . . . . . 137

iv IBM i: Netzwerkauthentifizierungsservice

Page 7: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Netzwerkauthentifizierungsservice

Der Netzwerkauthentifizierungsservice ermöglicht es dem IBM® i-Produkt und verschiedenen IBM i-Ser-vices, wie z. B. IBM i Access Client Solutions, für die Authentifizierung anstelle einer Kombination ausBenutzername und Kennwort optional ein Kerberos-Ticket zu verwenden.

Das Kerberos-Protokoll, das vom Massachusetts Institute of Technology entwickelt wurde, erlaubt es ei-nem Principal (Benutzer oder Service), seine Identität gegenüber einem anderen Service in einem nichtgesicherten Netzwerk nachzuweisen. Die Authentifizierung von Principals wird über einen zentralen Ser-ver, den so genannten Kerberos-Server, oder KDC (Key Distribution Center - Instanz zur Schlüsselvertei-lung) durchgeführt.

Anmerkung: In dieser Dokumentation wird durchgängig der generische Begriff Kerberos-Server verwen-det.

Ein Benutzer authentifiziert sich mit einem Principal und einem Kennwort, das auf dem Kerberos-Servergespeichert ist. Nachdem ein Principal authentifiziert ist, gibt der Kerberos-Server ein Ticket-granting Ti-cket (TGT) an den Benutzer aus. Wenn ein Benutzer auf eine Anwendung oder einen Service im Netz-werk zugreifen muss, sendet die Kerberos-Clientanwendung auf dem PC des Benutzers das TGT an denKerberos-Server zurück, um ein Service-Ticket für den Zielservice bzw. die Zielanwendung zu erhalten.Die Kerberos-Clientanwendung sendet das Service-Ticket dann zur Authentifizierung an den Service oderdie Anwendung. Wenn der Service oder die Anwendung das Ticket akzeptiert, wird ein Sicherheitskon-text erstellt, und die Benutzeranwendung kann dann Daten mit einem Zielservice austauschen. Anwen-dungen können einen Benutzer authentifizieren und seine Identität sicher an andere Services im Netz-werk weiterleiten. Nachdem ein Benutzer bekannt ist, sind separate Funktionen erforderlich, um dieBerechtigung des Benutzers zur Verwendung der Netzwerkressourcen zu überprüfen.

Der Netzwerkauthentifizierungsservice implementiert die folgenden Spezifikationen:v Kerberos Version 5 Protocol RFC (Request for Comment) 1510 und RFC 4120v Viele der verwendeten Kerberos-Protokoll-APIs, die in der Branche De-facto-Standards sindv GSS-APIs (GSS = Generic Security Service) laut RFCs 1509, 1964, 2743 und 4121

Die IBM i-Implementierung des Netzwerkauthentifizierungsservice kann mit Authentifizierungs- und De-legierungsservices sowie Services zur Sicherung der Datenvertraulichkeit verwendet werden, die mit die-sen RFCs und den APIs von Microsoft Windows 2000 Security Service Provider Interface (SSPI) kompati-bel sind. Microsoft Active Directory verwendet standardmäßig Kerberos als Sicherheitsmechanismus.Wenn Benutzer zum Microsoft Active Directory hinzugefügt werden, entspricht deren Windows-Kennungeinem Kerberos-Principal. Der Netzwerkauthentifizierungsservice gewährleistet die Interoperabilität mitdem Microsoft Active Directory und dessen Implementierung des Kerberos-Protokolls.

PDF-Datei für den NetzwerkauthentifizierungsserviceSie können diese Informationen als PDF-Datei anzeigen und drucken.

Zum Anzeigen oder Herunterladen der PDF-Version dieses Dokuments wählen Sie Netzwerkauthentifi-zierungsservice aus.

Sie können die folgenden PDF-Dateien mit Referenzinformationen anzeigen oder herunterladen:

v Einzelanmeldung enthält die folgenden Themen:– Szenarios, die zeigen, wie der Netzwerkauthentifizierungsservice mit EIM (Enterprise Identity Map-

ping) verwendet werden kann, um die Einzelanmeldung in einem Unternehmen bereitzustellen.

1

Page 8: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

– Konzepte, die die Einzelanmeldung und ihre Vorzüge erläutern.

v Enterprise Identity Mapping enthält die folgenden Themen:– Szenarios, die allgemeine EIM-Implementierungen zeigen.– Konzepte und Planungsinformationen, die das Verständnis von EIM und die Planung für EIM ver-

einfachen.

Weitere Informationen

Diese Dokumentation finden Sie auf der CD AIX 5L Expansion Pack and Bonus Pack oder auf derCD für Network Authentication Enablement:v Handbücher:

– IBM Network Authentication ServiceAIX, Linux, and Solaris Administrator's and User's Guide

– IBM Network Authentication Service AIX, Linux, and Solaris Application Development Reference.

PDF-Dateien speichern

So können Sie eine PDF-Datei auf Ihrer Workstation speichern, um diese anzuzeigen oder zu drucken:1. Klicken Sie im Browser mit der rechten Maustaste auf den PDF-Link.2. Klicken Sie auf die Auswahl zum lokalen Speichern der PDF-Datei.3. Navigieren Sie zu dem Verzeichnis, in dem die PDF-Datei gespeichert werden soll.4. Klicken Sie auf Speichern.

Adobe Reader herunterladen

Auf Ihrem System muss Adobe Reader installiert sein, damit Sie die PDF-Dateien anzeigen und druckenkönnen. Sie können das Programm kostenlos von der Adobe-Website

(www.adobe.com/products/acrobat/readstep.html) herunterladen.

Konzepte für NetzwerkauthentifizierungsserviceDer Netzwerkauthentifizierungsservice unterstützt Kerberos-Protokoll- und GSS-APIs (GSS = Generic Se-curity Service), die die Benutzerauthentifizierung in einem Netzwerk zur Verfügung stellen.

Da es zahlreiche Quellen mit Informationen zu Kerberos-Protokollen und GSS-APIs gibt, werden hier nurdie grundlegenden Voraussetzungen erläutert, die sich speziell auf Ihre IBM i-Umgebung beziehen.

Kerberos-KonzepteDer Netzwerkauthentifizierungsservice verwendet die Fachbegriffe des Kerberos-Protokolls. Hierzu gehö-ren z. B. KDC, Principal, Chiffrierschlüsseltabelle und Kerberos-Tickets.

KDC, Principal und Chiffrierschlüsseltabelle

Das Key Distribution Center (KDC), das auch als Kerberos-Server bezeichnet wird, besteht aus dem Au-thentifizierungsserver und dem Ticket-granting Server. Der Authentifizierungsserver stellt Ticket-grantingTickets aus, und der Ticket-granting Server stellt Service-Tickets aus. Wichtig ist, dass eine sichere Ma-schine als Kerberos-Server fungiert, da ansonsten durch unberechtigten Zugriff auf den Kerberos-ServerIhr gesamter Realm gefährdet werden könnte.

In einem Kerberos-Realm bezeichnet der Begriff Principal den Namen eines Benutzers oder Service. Unterdem Betriebssystem IBM i wird der Service-Principal krbsvr400 verwendet, um den Service zu identifizie-

2 IBM i: Netzwerkauthentifizierungsservice

Page 9: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

ren, der von IBM i Access Client Solutions-, QFileSrv.400- und Telnet-Servern benutzt wird, um den Cli-ent gegenüber der IBM i-Plattform zu authentifizieren.

Die Chiffrierschlüsseltabelle besteht aus Einträgen, die den Namen des Service-Principals und dessen ge-heimen Schlüssel enthalten. Unter dem Betriebssystem IBM i wird bei der Konfiguration des Netzwerkau-thentifizierungsservice eine Chiffrierschlüsseltabelle erstellt. Wenn ein Service die Authentifizierung fürein System mit konfiguriertem Netzwerkauthentifizierungsservice anfordert, überprüft das Betriebssys-tem, ob die Chiffrierschlüsseltabellendatei die Berechtigungsnachweise für den betreffenden Service ent-hält.

Um sicherzustellen, dass Benutzer und Services richtig authentifiziert werden, müssen sie sowohl aufdem Kerberos-Server als auch unter IBM i erstellt worden sein. Die Einträge werden der Chiffrierschlüs-seltabelle während der Verarbeitung des Assistenten für den Netzwerkauthentifizierungsservice hinzuge-fügt. Sie können Einträge auch durch Eingabe des Befehls keytab im Qshell Interpreter einer zeichenba-sierten Schnittstelle hinzufügen.

Anmerkung: Dieser DNS-Name muss mit dem auf der Maschine definierten Hostnamen identisch sein.Weitere Informationen über die Zusammenarbeit von DNS und Kerberos finden Sie unter „Hinweise zurAuflösung von Hostnamen” auf Seite 83.

Kerberos-Tickets

Ein Kerberos-Ticket ist ein transparenter Anwendungsmechanismus, der die Identität eines einleitendenPrincipals an die zugehörige Zieleinheit überträgt. Ein einfaches Ticket enthält die Identität des Princi-pals, einen Sitzungsschlüssel, eine Zeitmarke und weitere Informationen, die anhand des geheimenSchlüssels der Zieleinheit versiegelt werden. Kerberos-Tickets können verlängert und weitergeleitet wer-den oder sind proxyfähig.

Mit Hilfe weiterleitbarer Tickets kann die vollständige Identität (TGT) an eine andere Maschine übertra-gen werden, wohingegen mit proxyfähigen Tickets lediglich bestimmte Tickets übertragen werden kön-nen. Unter Verwendung proxyfähiger Tickets kann ein Service eine Task im Namen eines Principals aus-führen. Der Service muss in der Lage sein, die Identität des Principals für einen bestimmten Zweckanzunehmen. Ein proxyfähiges Ticket teilt dem Kerberos-Server mit, dass er auf der Basis des ursprüngli-chen Ticket-granting Tickets ein neues Ticket für eine andere Netzwerkadresse ausstellen kann. Fürproxyfähige Tickets ist kein Kennwort erforderlich.

In bestimmten Fällen benötigt eine Anwendung oder ein Service Tickets, die über einen längeren Zeit-raum gültig sind. Die längere Gültigkeitsdauer erhöht aber auch die Wahrscheinlichkeit eines Diebstahlsder Berechtigungsnachweise, die bis zum Verfall des Tickets gültig sind. Um dies zu verhindern und An-wendungen die Möglichkeit zu bieten, Tickets mit längerer Gültigkeitsdauer zu erhalten, werden erneuer-bare Tickets verwendet. Erneuerbare Tickets haben nämlich zwei Verfallszeiten. Die erste betrifft die aktu-elle Instanz des Tickets und die zweite das späteste zulässige Verfallsdatum des Tickets.

Funktionsweise des NetzwerkauthentifizierungsserviceDas IBM i-Produkt kann als Server oder Client im Kerberos-Netzwerk fungieren. Hierbei sollten Sie sichin beiden Fällen unbedingt mit den Authentifizierungsprozessen und dem Verarbeitungsablauf bei denTickets vertraut machen.

Das Kerberos-Protokoll stellt eine Authentifizierungsmethode für Benutzer und Services in Ihrem Netz-werk zur Verfügung. Als Netzwerkadministrator können Sie den Netzwerkauthentifizierungsservice sokonfigurieren, dass Ihre IBM i-Plattform Kerberos-Tickets als Authentifizierungsform anerkennt. Das IBMi-Produkt und mehrere systemspezifische Anwendungen fungieren als Client/Server innerhalb eines Ker-beros-Netzwerks, die Tickets für die Authentifizierung von Benutzern und Services anfordern. Das Kerbe-ros-Protokoll gibt Benutzern und Services die Möglichkeit, ihre Identität innerhalb eines Netzwerks nach-

Netzwerkauthentifizierungsservice 3

Page 10: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

zuweisen (authentifizieren), berechtigt sie jedoch nicht für Ressourcen auf diesem Netzwerk. SpezielleBerechtigungen für IBM i-Funktionen werden über Benutzerprofile verwaltet, die unter dem Betriebssys-tem IBM i erstellt werden.

Wenn sich ein Benutzer unter Verwendung von Kerberos authentifiziert, erhält er ein erstmaliges Ticket,das als Ticket-granting Ticket (TGT) bezeichnet wird. Der Benutzer kann anschließend mit diesem TGTein Service-Ticket anfordern, um auf andere Services und Anwendungen im Netzwerk zuzugreifen. Füreine erfolgreiche Authentifizierung muss ein Administrator die Benutzer, IBM i-Service-Principals undAnwendungen registrieren, die das Kerberos-Protokoll auf dem Kerberos-Server verwenden. Das IBM i-Produkt kann entweder als Server dienen, auf dem Principals die Authentifizierung für Services anfor-dern, oder es kann als Client dienen, der Tickets für Anwendungen und Services im Netzwerk anfordert.Die folgenden Grafiken zeigen den Verarbeitungsablauf in beiden Fällen.

IBM i-Produkt als Server

Diese Grafik zeigt die Funktionsweise der Authentifizierung, wenn ein IBM i-Produkt als Server in einemKerberos-Netzwerk fungiert. Der auch als KDC (Key Distribution Center - Instanz zur Schlüsselvertei-lung) bezeichnete Kerberos-Server in PASE für i stellt Tickets für den Principal jday aus.

Der Principal jday möchte auf eine Anwendung auf System A zugreifen. In diesem Fall wird EnterpriseIdentity Mapping (EIM) auf dem System verwendet, um den Kerberos-Principal einem IBM i-Benutzer-profil zuzuordnen. Diese Vorgehensweise gilt für alle IBM i-Funktionen, die die Kerberos-Authentifizie-rung unterstützen, wie beispielsweise IBM i Access Client Solutions.

4 IBM i: Netzwerkauthentifizierungsservice

Page 11: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Die folgende Beschreibung gibt Ihnen eine Übersicht über die Funktionsweise des Authentifizie-rungsprozesses innerhalb eines Netzwerks:1. Der Benutzer jday authentifiziert sich gegenüber dem Kerberos-Server, indem er bei der Anmel-

dung im Kerberos-Realm einen Principal und ein Kennwort angibt. Daraufhin wird vom Kerbe-ros-Server ein Ticket-granting Ticket (TGT) angefordert.

2. Der Kerberos-Server prüft den Namen des Principals und das Kennwort und sendet ein TGT anjday.

3. Jday benötigt Zugriff auf eine Anwendung auf der IBM i-Plattform. Die Kerberos-Clientanwen-dung auf dem PC von jday sendet sein TGT an den Kerberos-Server, um ein Service-Ticket fürdie entsprechende Anwendung, wie beispielsweise IBM i Access Client Solutions, anzufordern.Die Workstation des Benutzers verwaltet dessen Cache für Berechtigungsnachweise, der Ticketsund andere Informationen zur Identität das Benutzers enthält. Diese Berechtigungsnachweisewerden nach Bedarf aus dem Cache gelesen, und neue Berechtigungsnachweise werden hier ge-speichert. Damit wird der Anwendung die Verantwortung abgenommen, ihre Berechtigungs-nachweise selbst verwalten zu müssen.

4. Der Kerberos-Server antwortet mit dem Service-Ticket.5. Die Anwendung sendet das Service-Ticket an den IBM i-Service, um den Benutzer zu authentifi-

zieren.6. Die Serveranwendung prüft das Ticket, indem sie die APIs für den Netzwerkauthentifizierungs-

service aufruft; wahlweise kann sie zwecks gegenseitiger Authentifizierung auch eine Rückant-wort an den Client senden.

7. Unter Verwendung einer EIM-Zuordnung wird der Kerberos-Principal anschließend dem IBM i-Benutzerprofil zugeordnet.

IBM i-Produkt als Client

Diese Grafik zeigt die Funktionsweise der Authentifizierung, wenn ein IBM i-Produkt als Client in einemKerberos-Netzwerk fungiert. In dieser Grafik stellt der Kerberos-Server, der sich auf dem Windows-Serverbefindet, Tickets für den Benutzer aus, der sich für Kerberos authentifiziert hat. System A kann für ande-re Services authentifiziert werden. In diesem Beispiel wird EIM auf System B verwendet, um den Kerbe-ros-Principal einem Benutzerprofil zuzuordnen. Diese Vorgehensweise gilt für alle IBM i-Funktionen, diedie Kerberos-Authentifizierung unterstützen, wie beispielsweise QFileSvr.400.

Netzwerkauthentifizierungsservice 5

Page 12: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Die folgende Beschreibung gibt Ihnen eine Übersicht über die Funktionsweise des Authentifizie-rungsprozesses innerhalb eines Netzwerks:1. Der Principal jday meldet sich bei System A an und fordert ein Ticket-granting Ticket an, indem

er den Befehl kinit im Qshell Interpreter ausführt. Das System sendet diese Anforderung an denKerberos-Server.

2. Der Kerberos-Server prüft den Namen des Principals und das Kennwort und sendet ein Ticket-granting Ticket an jday.

3. Jday benötigt Zugriff auf eine Anwendung auf System B. Durch Aufrufen der APIs für denNetzwerkauthentifizierungsservice sendet die Anwendung das TGT von jday an den Kerberos-Server, um ein Service-Ticket für die jeweilige Anwendung oder den Service anzufordern. Die lo-kale Maschine des Principals verwaltet einen Cache für Berechtigungsnachweise, der Tickets, Sit-zungsschlüssel und andere Informationen zur Identität das Benutzers enthält. DieseBerechtigungsnachweise werden nach Bedarf aus dem Cache gelesen, und neue Berechtigungs-nachweise werden hier gespeichert. Damit wird der Anwendung die Verantwortung abgenom-men, ihre Berechtigungsnachweise selbst verwalten zu müssen.

4. Der Kerberos-Server antwortet mit dem Service-Ticket.

Anmerkung: Dem Kerberos-Server muss ein Service-Principal für System B hinzugefügt wer-den. Außerdem muss auf System B auch der Netzwerkauthentifizierungsservice konfiguriertwerden.

5. Die Anwendung sendet das Server-Ticket an den IBM i-Service, um den Benutzer zu authentifi-zieren.

6 IBM i: Netzwerkauthentifizierungsservice

Page 13: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

6. Die Serveranwendung prüft das Ticket, indem sie die APIs für den Netzwerkauthentifizierungs-service aufruft; wahlweise kann sie zwecks gegenseitiger Authentifizierung auch eine Rückant-wort an den Client senden.

7. Unter Verwendung einer EIM-Zuordnung wird der Kerberos-Principal anschließend dem IBM i-Benutzerprofil zugeordnet.

Protokolle für NetzwerkauthentifizierungsserviceDer Netzwerkauthentifizierungsservice verwendet das Kerberos-Protokoll gemeinsam mit GSS-APIs (GSS= Generic Security Services) zur Bereitstellung von Authentifizierungs- und Sicherheitsservices.

Dieses Thema enthält eine allgemeine Beschreibung der Protokolle für den Netzwerkauthentifizierungs-service und zur Verwendung dieser Protokolle in der IBM i-Umgebung. Vollständige Informationen überdiese Standards erhalten Sie über die Links auf die zugehörigen Requests for Comments und andere ex-terne Quellen.

Kerberos-Protokoll

Das Kerberos-Protokoll bietet die Authentifizierung durch eine dritte Partei, wobei Benutzer ihre Identitätgegenüber einem zentralen Server nachweisen, der als Kerberos-Server oder KDC (Key Distribution Cen-ter - Instanz zur Schlüsselverteilung) bezeichnet wird und Tickets für Benutzer ausstellt. Anhand dieserTickets können die Benutzer dann ihre Identität innerhalb des Netzwerks nachweisen. Durch das Ticketwird die Notwendigkeit mehrerer Anmeldungen an verschiedenen Systemen hinfällig. Die von der IBM i-Umgebung unterstützten APIs für den Netzwerkauthentifizierungsservice wurden am Massachusetts Ins-titute of Technology entwickelt und sind zum De-facto-Standard für die Verwendung des Kerberos-Proto-kolls geworden.

Voraussetzungen für die Sicherheitsumgebung

Das Kerberos-Protokoll geht davon aus, dass der gesamte Datenaustausch in einer Umgebung stattfindet,in der Pakete nach Belieben eingefügt, geändert oder abgefangen werden können. Verwenden Sie Kerbe-ros als eine Schicht eines umfassenden Sicherheitsplans. Obwohl Sie mit dem Kerberos-Protokoll Benutzerund Anwendungen im gesamten Netzwerk authentifizieren können, müssen Sie sich auch der Grenzendieses Protokolls bewusst sein, wenn Sie Ihre Ziele hinsichtlich der Netzwerksicherheit definieren:v Das Kerberos-Protokoll schützt nicht vor Denial-of-Service-Attacken. Das Protokoll enthält Stellen, an

denen ein Eindringling verhindern kann, dass eine Anwendung die korrekten Authentifizierungsschrit-te ausführt. Das Aufdecken und Abwehren solcher Attacken überlässt man am besten Administratorenund Benutzern.

v Die gemeinsame Benutzung und der Diebstahl von Schlüsseln kann Attacken in Form betrügerischenAuftretens ermöglichen. Wenn es Eindringlingen gelingt, sich den Schlüssel eines Principals anzueig-nen, können sie sich als dieser Benutzer oder Service ausgeben. Um dieses Sicherheitsrisiko zu mini-mieren, untersagen Sie Benutzern die gemeinsame Benutzung ihrer Schlüssel und dokumentieren Siediese Richtlinie in Ihren Sicherheitsbestimmungen.

v Das Kerberos-Protokoll schützt nicht vor Angriffen auf die typischen Schwachstellen von Kennwörtern,wie beispielsweise die Möglichkeit des Erratens. Wenn ein Benutzer ein leicht zu erratendes Kennwortwählt, kann ein Angreifer erfolgreich eine offline durchgeführte Attacke auf das Wörterverzeichnis star-ten, indem er wiederholt versucht, Nachrichten zu entschlüsseln, die mit einem Schlüssel codiert sind,der vom Kennwort des Benutzers abgeleitet ist.

Kerberos-Quellen

RFCs (Requests for Comments) sind schriftlich niedergelegte Definitionen von Protokollstandards undvorgesehenen Standards für das Internet. Die folgenden RFCs können zum besseren Verständnis des Ker-beros-Protokolls beitragen:

Netzwerkauthentifizierungsservice 7

Page 14: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

RFC 1510RFC 1510: "The Kerberos Network Authentication Service (V5)" enthält die formale IETF-Definiti-on (IETF = Engineering Task Force) des Kerberos Network Authentication Service (V5). RFC 4120ersetzt diesen RFC.

RFC 4120RFC 4120: "The Kerberos Network Authentication Service (V5)" erweitert und präzisiert das Ker-beros-Protokoll.

Sie können die genannten RFCs mithilfe der RFC-Indexsuchmaschine auf der Website für den RFC Editor

anzeigen. Suchen Sie nach der gewünschten RFC-Nummer. Die Ergebnisanzeige der Suchmaschineenthält den entsprechenden RFC-Titel mit Autor, Datum und Status.

Kerberos: The Network Authentication Protocol (V5)Die vom Massachusetts Institute of Technology herausgegebene offizielle Dokumentation des Ker-beros-Protokolls stellt Programmierinformationen zur Verfügung und beschreibt die Protokoll-funktionen.

Generic Security Services Application Programming Interfaces (GSS-APIs)

Generic Security Services Application Programming Interfaces (GSS-APIs) stellen generische Sicherheits-services zur Verfügung und werden von einer Reihe von Sicherheitstechnologien wie beispielsweise demKerberos-Protokoll unterstützt. Dadurch können GSS-Anwendungen in verschiedene Umgebungen por-tiert werden. Aus diesem Grund wird empfohlen, diese APIs an Stelle der Kerberos-APIs zu verwenden.Sie können Anwendungen, die GSS-APIs verwenden, erstellen, um mit anderen Anwendungen und Cli-ents im selben Netzwerk zu kommunizieren. Jede der miteinander kommunizierenden Anwendungenspielt bei diesem Austausch eine Rolle. Mit GSS-APIs können Anwendungen die folgenden Operationendurchführen:v Die Benutzer-ID einer anderen Anwendung feststellen.v Zugriffsberechtigungen an andere Anwendungen delegieren.v Sicherheitsservices, wie beispielsweise Vertraulichkeit und Integrität, auf Nachrichtenbasis anwenden.

GSS-API-Quellen

RFCs (Requests for Comments) sind schriftlich niedergelegte Definitionen von Protokollstandards undvorgesehenen Standards für das Internet. Die folgenden RFCs können zum besseren Verständnis der GSS-APIs beitragen:

RFC 2743RFC 2743: "Generic Security Service Application Program Interface Version 2, Update 1" enthältdie formale IETF-Definition (IETF = Engineering Task Force) von GSS-APIs.

RFC 1509RFC 1509: "Generic Security Service API: C-bindings" enthält die formale IETF-Definition vonGSS-APIs. RFC 2744 ersetzt diesen RFC.

RFC 1964RFC 1964: "The Kerberos Version 5 GSS API Mechanism" enthält die IETF-Definitionen von Ker-beros Version 5 und GSS-API-Spezifikationen.

RFC 4121RFC 4121: "The Kerberos Version 5 GSS-API Mechanism: Version 2" aktualisiert und ändert RFC1964.

Sie können die genannten RFCs mithilfe der RFC-Indexsuchmaschine auf der Website für den RFC Editor

anzeigen. Suchen Sie nach der gewünschten RFC-Nummer. Die Ergebnisanzeige der Suchmaschine

8 IBM i: Netzwerkauthentifizierungsservice

Page 15: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

enthält den entsprechenden RFC-Titel mit Autor, Datum und Status.

Umgebungsvariablen für NetzwerkauthentifizierungsserviceIm Netzwerkauthentifizierungsservice können Sie mithilfe von Umgebungsvariablen die Leistung derGSS-APIs und der Kerberos-Protokoll-APIs beeinflussen.

Sie können Umgebungsvariablen verwenden, um die Konfiguration zu ändern und den Netzwerkauthen-tifizierungsservice auf Ihrem Netzwerk zu verwalten. Das Betriebssystem IBM i unterstützt mehrere Ver-wendungsmöglichkeiten von Umgebungsvariablen.

CL-Befehle

v ADDENVVARv CHGENVVARv RMVENVVARv WRKENVVAR

Ein Beispiel für den Einsatz von Umgebungsvariablen mit dem CL-Befehl ADDENVVAR finden Sie unter„API-Trace-Tool” auf Seite 129. Mit dieser Gruppe von Umgebungsvariablen können Sie eine Protokollda-tei erstellen, in der alle Kerberos- und GSS-API-Aufrufe aufgezeichnet werden. Mit dem API-Trace-Toolkönnen Sie kompliziertere Probleme, die im Zusammenhang mit den Kerberos-fähigen Anwendungenauftreten, Probleme, die bei der Konfiguration des Netzwerkauthentifizierungsservice und Probleme, diebei Anforderungen von Kerberos-Tickets auftreten können, beheben.

C-APIs

v getenv()v putenv()

Beschreibungen und Beispiele dieser APIs finden Sie in den Anmerkungen zur Verwendung der APIs ge-tenv() und putenv().

Qshell-Befehle

v export -s env_var_name=Wert

Außerdem können Sie eine Umgebungsvariablendatei (envar-Datei) definieren, die Einträge im FormatUmgebungsvariable=Wert enthält. Alle über die Qshell-Umgebung oder mit den CL-Befehlen definiertenVariablen überschreiben die entsprechenden Variablen in der envar-Datei. Mit der Umgebungsvariablen_EUV_ENVAR_FILE kann die Adresse der Datei angegeben werden, die diese Einträge enthält.

_EUV_ENVAR_FILE

Der Name der Datei, die Definitionen von Umgebungsvariablen enthält. Wird diese Variable nichtangegeben, wird standardmäßig die envar-Datei verwendet, die sich im Ausgangsverzeichnis(Umgebungsvariable _EUV_HOME oder HOME) befindet.

Jede Zeile der Datei besteht aus dem Variablennamen, gefolgt von einem Gleichheitszeichen (=),auf das wiederum der Variablenwert ohne Leerzeichen oder sonstige Interpunktion folgt. Als Va-riablenwert gilt alles, was hinter dem Gleichheitszeichen bis zum Zeilenende steht (einschließ-lich eingebetteter und abschließender Leerzeichen). Zeilen, die mit einem Nummernzeichen (#)beginnen, gelten als Kommentarzeilen. Eine Zeile kann durch einen umgekehrten Schrägstrich (\)am Zeilenende fortgesetzt werden. Auf den umgekehrten Schrägstrich darf kein abschließendesLeerzeichen folgen. _EUV_ muss in Spalte 1 beginnen.

Umgebungsvariablen werden erst gesetzt, wenn eine Funktion innerhalb der Sicherheitslaufzeitzum ersten Mal aufgerufen wird. Daher bietet sich diese Datei hauptsächlich an, um Umgebungs-variablen zu setzen, die von Funktionen innerhalb der Sicherheitslaufzeit verwendet werden; mitder Datei können aber auch Umgebungsvariablen gesetzt werden, die von der Anwendung ver-wendet werden. In diesem Fall sollte sich die Anwendung erst auf die Werte der Umgebungsvari-

Netzwerkauthentifizierungsservice 9

Page 16: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

ablen verlassen, nachdem die Sicherheitslaufzeit initialisiert wurde. Das Benutzerprofil, unter demdieses Programm läuft, muss die Berechtigung *X für jedes vor dieser Datei stehende Verzeichnisim Pfad und die Berechtigung *R für diese Datei selbst besitzen.

_EUV_HOME und HOMEDas Ausgangsverzeichnis der Sicherheitslaufzeit nimmt den Wert der Umgebungsvariablen _EUV-_HOME an. Wird diese Variable nicht angegeben, wird das Ausgangsverzeichnis für die Sicher-heitslaufzeit mithilfe der Variablen HOME festgelegt. Wird keine der Umgebungsvariablen ange-geben, wird das Ausgangsverzeichnis verwendet, das in dem momentan aktiven Benutzerprofilkonfiguriert ist. Wenn kein Ausgangsverzeichnis vorhanden ist, wird das aktuelle Arbeitsver-zeichnis benutzt. Geben Sie als allgemeine Zugriffsberechtigung für dieses Verzeichnis nur *EX-CLUDE oder *R an.

_EUV_SEC_KRB5CCNAME_FILEDer Name der Datei, mit der der Kerberos-Standardcache für Berechtigungsnachweise gesuchtwird. Wird diese Variable nicht angegeben, wird standardmäßig die Datei krb5ccname im Aus-gangsverzeichnis für die Sicherheitslaufzeit verwendet. Das aktive Benutzerprofil muss die Be-rechtigung *X für jedes Verzeichnis im Pfadnamen besitzen, das vor dieser Datei steht. Wenn dieDatei noch nicht vorhanden ist, muss das aktive Benutzerprofil die Berechtigung *WX für das Pa-rent-Verzeichnis besitzen, in dem diese Datei enthalten ist. Der Benutzer muss sicherstellen, dassdie allgemeine Zugriffsberechtigung für das Parent-Verzeichnis eingeschränkt wird, um Benutzermit betrügerischer Absicht daran zu hindern, die verwendete Cachedatei für Berechtigungsnach-weise zu ändern.

_EUV_SVC_MSG_LOGGINGDas Ziel der Nachrichtenprotokollierung. Gültige Werte sind:

NO_LOGGINGAlle Nachrichten werden unterdrückt. Dies ist der Standardwert.

STDOUT_LOGGINGAlle Nachrichten (Informations- und Fehlernachrichten) werden in stdout, Fehlernachrich-ten in stderr aufgezeichnet.

STDERR_LOGGINGInformationsnachrichten werden in stdout und Fehlernachrichten in stderr aufgezeichnet.

_EUV_SVC_MSG_LEVELDie Nachrichtenstufe, die für die Protokollierung ausschlaggebend ist. Nachrichten, die diese Be-dingung nicht erfüllen, werden unterdrückt. Standardmäßig werden alle Nachrichten protokol-liert. Gültige Werte sind:

FATALEs werden nur Nachrichten zu nicht behebbaren Fehlern protokolliert.

ERROREs werden nur Nachrichten zu nicht behebbaren Fehlern und Fehlernachrichten protokol-liert.

USER Es werden nur Nachrichten zu nicht behebbaren Fehlern, Fehlernachrichten und Benut-zernachrichten protokolliert.

WARNINGEs werden nur Nachrichten zu nicht behebbaren Fehlern, Fehlernachrichten, Benutzer-nachrichten und Warnungen protokolliert.

NOTICEEs werden nur Nachrichten zu nicht behebbaren Fehlern, Fehlernachrichten, Benutzer-nachrichten, Warnungen und Hinweisnachrichten protokolliert.

VERBOSEAlle Nachrichten werden protokolliert.

10 IBM i: Netzwerkauthentifizierungsservice

Page 17: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

_EUV_SVC_STDOUT_FILENAMEDer vollständig qualifizierte Name der Datei für Standardausgabenachrichten. Wenn diese Umge-bungsvariable nicht definiert wird, werden Nachrichten in stdout aufgezeichnet. Das aktive Be-nutzerprofil muss die Berechtigung *X für jedes im Pfad vor dieser Datei stehende Verzeichnisund die Berechtigung *WX für das Parent-Verzeichnis besitzen, in dem diese Datei enthalten ist.

_EUV_SVC_STDERR_FILENAMEDer vollständig qualifizierte Name der Datei für Standardfehlernachrichten. Wenn diese Umge-bungsvariable nicht definiert wird, werden Nachrichten in stderr aufgezeichnet. Das aktive Benut-zerprofil muss die Berechtigung *X für jedes im Pfad vor dieser Datei stehende Verzeichnis unddie Berechtigung *WX für das Parent-Verzeichnis besitzen, in dem diese Datei enthalten ist.

_EUV_SVC_DBG_MSG_LOGGINGGibt an, ob Debugnachrichten generiert werden. Standardmäßig werden Debugnachrichten unter-drückt. Die Protokollierung von Debugnachrichten sollte nur aktiviert werden, wenn sie vomIBM-Service angefordert wird, denn sie kann die Leistung erheblich beeinträchtigen. Gültige Wer-te sind:v 0 Debugnachrichten unterdrückenv 1 Debugnachrichten aufzeichnen

_EUV_SVC_DBG

Die Unterkomponenten und Stufen für die Debugnachrichten. Debugnachrichten für eine be-stimmte Unterkomponente werden nur protokolliert, wenn die Unterkomponente in die _EUV_S-VC_DBG-Liste aufgenommen wird und die Nachrichtenstufe der angegebenen Stufe entsprichtoder höher als diese ist. Verwenden Sie einen Stern (*), um alle Unterkomponenten anzugeben.

Die Einträge in der Liste der Unterkomponenten besteht aus dem Namen der jeweiligen Unter-komponente gefolgt von einem Punkt und der Debugstufe. Sie können mehrere durch Kommavoneinander getrennte Unterkomponenten angeben. Beispiel:_EUV_SVC_DBG=*.1,KRB_CCACHE.8 aktiviert Debugstufe 1 für alle Unterkomponenten und De-bugstufe 8 für die Unterkomponente KRB_CCACHE. Es können die folgenden Unterkomponen-ten angegeben werden:v KRB_APIv KRB_GENERALv KRB_CCACHEv KRB_RCACHEv KRB_CRYPTOv KRB_GSSAPIv KRB_KEYTABv KRB_LIBv KRB_ASN1v KRB_OSv KRB_KDCv KRB_KDBv KRB_KUT

_EUV_SVC_DBG_FILENAMEDer vollständig qualifizierte Name der Datei für Debugnachrichten. Wenn diese Umgebungsvari-able nicht definiert wird, werden Debugnachrichten in der Datei aufgezeichnet, die von _EUV_S-VC_STDOUT_FILENAME angegeben wird. Wird _EUV_SVC_STDOUT_FILENAME nicht angege-ben, werden Debugnachrichten in stdout aufgezeichnet. Das aktive Benutzerprofil muss dieBerechtigung *X für jedes im Pfad vor dieser Datei stehende Verzeichnis und die Berechtigung*WX für das Parent-Verzeichnis besitzen, in dem diese Datei enthalten ist.

Netzwerkauthentifizierungsservice 11

Page 18: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

KRB5_CONFIGEine oder mehrere durch Doppelpunkt voneinander getrennte Konfigurationsdateien. Die Stan-dardkonfigurationsdatei ist /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf. Das aktiveBenutzerprofil muss die Berechtigung *X für jedes im Pfad vor dieser Datei stehende Verzeichnisund die Berechtigung *R für die Konfigurationsdateien besitzen.

Die Datei krb5.conf ist in einzelne Abschnitte untergliedert, deren Name in eckigen Klammernangegeben ist. Innerhalb dieser Abschnitte werden die Gruppenwerte in geschweiften Klammerndargestellt. In V5R4 und in früheren Versionen können die eckigen und geschweiften Klammerndurch die entsprechenden Trigraphen ersetzt werden. Die geltenden Zuordnungen sind in der fol-genden Tabelle aufgeführt.

Zeichen Trigraph

[ (linke eckige Klammer) ??(

] (rechte eckige Klammer) ??)

{ (linke geschweifte Klammer) ??<

} (rechte geschweifte Klammer) ??>

Standardmäßig werden auf den Systemen, die mit IBM i 6.1 arbeiten, jedoch eckige und ge-schweifte Klammern anstelle der entsprechenden Trigraphen verwendet. Wenn Sie nicht mit ei-nem Java™-Kerberos-Client arbeiten, können Sie Ihr System für die Verwendung von Trigraphenkonfigurieren. Zur Verwendung von Trigraphen auf dem System können Sie den ersten Buchsta-ben des Datenbereichs QUSRSYS/QKRBTRIGRA von der Standardeinstellung N in Y ändern, in-dem Sie den CL-Befehl CHGDTAARA (Datenbereich ändern) eingeben.

KRB5CCNAMEDer Standardname der Cachedatei für Berechtigungsnachweise, der im Format Typ:Name angege-ben wird. Die unterstützten Dateitypen sind FILE und MEMORY. Standardmäßig erfolgt dasCaching FILE-basierter Berechtigungsnachweise im Verzeichnis /QIBM/UserData/OS400/NetworkAuthentication/creds. Wenn der Standardwert verwendet wird, ist keine Definition derBerechtigung erforderlich. Wenn eine FILE-basierte Cachedatei für Berechtigungsnachweise ange-geben wird, muss das aktive Benutzerprofil die Berechtigung *X für jedes Verzeichnis im Pfad be-sitzen. Beim erstmaligen Erstellen der Cachedatei benötigt das aktive Benutzerprofil die Berechti-gung *WX für das Parent-Verzeichnis und die Berechtigung *RW für die Cachedatei. ZumLöschen der Cachedatei benötigt das aktive Benutzerprofil die Berechtigung *OBJEXIST.

KRB5_KTNAMEDer Standardname für die Chiffrierschlüsseltabelle. Wird diese Umgebungsvariable nicht angege-ben, wird die vom Eintrag default_keytab_name in der Konfigurationsdatei angegebene Dateiverwendet. Wenn der Konfigurationseintrag nicht angegeben wird, verwendet das System dieStandarddatei /QIBM/UserData/OS400/NetworkAuthentication/keytab/krb5.keytab. Das aktive Be-nutzerprofil muss die Berechtigung *X für jedes Verzeichnis im Pfad besitzen. Beim Erstellen derDatei benötigt es außerdem die Berechtigung *WX für das Parent-Verzeichnis. Zum Aktualisierender Datei benötigt das aktive Benutzerprofil die Berechtigung *RW. Spezifische Berechtigungen,die erforderlich sind, werden unter den Qshell-Befehlen und den Laufzeit-APIs dokumentiert.

KRB5RCACHETYPEDer Standardtyp für den Replay-Cache. Er nimmt standardmäßig den Wert 'dfl' an.

KRB5RCACHENAMEDer Standardname für den Replay-Cache. Erfolgt keine Angabe, generiert die Kerberos-Ausfüh-rungszeit einen Namen.

KRB5RCACHEDIRDas Standardverzeichnis für den Replay-Cache. Standardmäßig wird das Verzeichnis/QIBM/UserData/OS400/NetworkAuthentication/replay verwendet.

12 IBM i: Netzwerkauthentifizierungsservice

Page 19: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Szenarios: Netzwerkauthentifizierungsservice in einem Kerberos-Netz-werk verwendenIm Folgenden werden allgemeine Szenarios aufgeführt, in denen der Netzwerkauthentifizierungsservicedem Betriebssystem IBM i die Nutzung eines Kerberos-Netzwerks ermöglicht.

Szenario: Kerberos-Server in PASE für i konfigurierenIm vorliegenden Szenario können Sie sich mit den Zielen, Voraussetzungen und Arbeitsschritten zur Kon-figuration eines Kerberos-Servers vertraut machen.

Situation

Sie arbeiten in Ihrem Unternehmen als Administrator und sind für die Sicherheitsverwaltung eines mittel-großen Netzwerks verantwortlich. Sie möchten Benutzer über ein zentrales System authentifizieren. Siehaben sich entschlossen, einen Kerberos-Server einzurichten, der Benutzer für Ressourcen im gesamtenUnternehmen authentifizieren soll. Sie haben viele Optionen für die Implementierung einer Kerberos-Lö-sung in Ihrem Netzwerk untersucht. Sie wissen, dass der Windows-Server Kerberos verwendet, um Be-nutzer für eine Windows-Domäne zu authentifizieren. Dies erhöht jedoch die Kosten im Rahmen Ihresknappen IT-Budgets. Anstatt eine Windows-Domäne zur Benutzerauthentifizierung zu verwenden, habenSie beschlossen, einen Kerberos-Server in Ihrer IBM i-Umgebung in der IBM Portable Application Solu-tions Environment für i (PASE für i) zu konfigurieren. PASE für i stellt eine integrierte Laufzeitumgebungfür AIX-Anwendungen zur Verfügung. Sie möchten die Flexibilität von PASE für i nutzen, um Ihren ei-genen Kerberos-Server zu konfigurieren. Der Kerberos-Server in PASE für i soll zum Authentifizieren vonBenutzern in Ihrem Netzwerk eingesetzt werden, die mit Windows-Workstations arbeiten.

Ziele

In diesem Szenario möchte MyCo, Inc. durch Ausführung der folgenden Tasks einen Kerberos-Server inPASE für i einrichten:v Kerberos-Server in der PASE für i-Umgebung konfigurierenv Netzwerkbenutzer zu einem Kerberos-Server hinzufügenv Workstations, die Windows-Betriebssysteme ausführen, zur Nutzung des in PASE für i konfigurierten

Kerberos-Realms konfigurierenv Netzwerkauthentifizierungsservice auf System A konfigurierenv Authentifizierung in Ihrem Netzwerk testen

Netzwerkauthentifizierungsservice 13

Page 20: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Details

Die folgende Abbildung veranschaulicht die Netzwerkumgebung für dieses Szenario.

System A

v Fungiert als Kerberos-Server (kdc1.myco.com) für das Netzwerk, wird auch als KDC (Key DistributionCenter) bezeichnet.

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– PASE für i (5770-SS1 Option 33)– Qshell Interpreter (5770-SS1 Option 30)– Network Authentication Enablement (5770-NAE)

v Hat den vollständig qualifizierten Hostnamen systema.myco.com.

Client-PCs

v Für alle PCs in diesem Szenario:

– Verwenden Windows-Betriebssysteme– Windows-Unterstützungstools (enthalten den Befehl ksetup) sind installiert

Voraussetzungen und Annahmen

Dieses Szenario behandelt schwerpunktmäßig die Tasks, die zur Konfiguration eines Kerberos-Servers inPASE für i ausgeführt werden müssen.1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-

den überprüft.

14 IBM i: Netzwerkauthentifizierungsservice

Page 21: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Führen Sie folgende Schritte durch, um festzustellen, ob die erforderlichen Lizenzprogramme instal-liert wurden:a. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Konfiguration und Ser-

vice > Software und wählen Sie Installierte Produkte aus.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

2. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP-Verbindungen wurden konfiguriert und in Ihrem Netzwerk getestet.4. Für die Auflösung der Hostnamen im Netzwerk wird ein einziger DNS-Server verwendet. Es werden

keine Hosttabellen für die Auflösung der Hostnamen verwendet.

Anmerkung: Die Verwendung von Hosttabellen bei der Kerberos-Authentifizierung kann zu Fehlernbei der Namensauflösung oder anderen Problemen führen. Ausführliche Informationen zur Auflösungvon Hostnamen bei der Kerberos-Authentifizierung finden Sie unter „Hinweise zur Auflösung vonHostnamen” auf Seite 83.

Konfigurationsschritte

Führen Sie die folgenden Schritte durch, um einen Kerberos-Server in PASE für i sowie den Netzwerkau-thentifizierungsservice zu konfigurieren.

Planungsarbeitsblätter ausfüllenVor der Konfiguration des Kerberos-Servers und des Netzwerkauthentifizierungsservice in PASE für imüssen Sie die folgenden Planungsarbeitsblätter ausfüllen.

Alle Fragen auf dem Arbeitsblatt für Voraussetzungen müssen mit Ja beantwortet werden, bevor Sie mitder Konfiguration des Netzwerkauthentifizierungsservice fortfahren.

Tabelle 1. Planungsarbeitsblatt für Voraussetzungen

Fragen Antworten

Verwenden Sie IBM i 5.4 oder eine höhere Version (5770-SS1)? Ja

Sind auf System A die folgenden Optionen und Lizenzprogramme installiert:

v IBM i Host Servers (5770-SS1 Option 12)

v IBM i PASE (5770-SS1 Option 33)

v Qshell Interpreter (5770-SS1 Option 30)

v Network Authentication Enablement (5770-NAE)

Ja

Ist auf allen PCs Windows installiert? Ja

Sind die Windows-Unterstützungstools (die den Befehl ksetup enthalten) auf allenPCs installiert?

Ja

Besitzen Sie die Sonderberechtigungen *SECADM, *ALLOBJ und *IOSYSCFG? Sie be-nötigen diese Sonderberechtigungen, um den Assistenten für denNetzwerkauthentifizierungsservice für dieses Szenario ausführen zu können.

Ja

Ist der DNS konfiguriert und verwenden Sie die richtigen Hostnamen für IBM i undden Kerberos-Server?

Ja

Unter welchem Betriebssystem möchten Sie den Kerberos-Server konfigurieren?

1. Windows-Server

2. AIX-Server

3. PASE für i (5.4 oder höher)

4. z/OS

PASE für i

Wurden die neuesten PTFs (vorläufigen Programmkorrekturen) angelegt? Ja

Netzwerkauthentifizierungsservice 15

Page 22: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 1. Planungsarbeitsblatt für Voraussetzungen (Forts.)

Fragen Antworten

Beträgt die Abweichung zwischen der Systemzeit des IBM i-Systems und der System-zeit des Kerberos-Servers maximal fünf Minuten? Ist die Abweichung größer, lesenSie die Informationen unter „Systemzeiten synchronisieren” auf Seite 103.

Ja

Für dieses Szenario müssen Sie verschiedene Kennwörter angeben. Das folgende Planungsarbeitsblatt ent-hält eine Liste von Kennwörtern, die Sie für dieses Szenario verwenden müssen. Verwenden Sie diese Ta-belle als Referenz, wenn Sie die Konfigurationsschritte zur Einrichtung des Kerberos-Servers in PASE für idurchführen.

Tabelle 2. Planungsarbeitsblatt für Kennwörter

Entität Kennwort

PASE für i-Administrator: admin/adminAnmerkung: PASE für i gibt admin/admin als Standardbenutzernamen für den Admi-nistrator an.

secret

PASE für i Database Master pasepwd

Windows-Workstations:

v pc1.myco.com (PC von John Day)

v pc2.myco.com (PC von Karen Jones)

secret1secret2

Kerberos-Benutzer-Principals:

v [email protected]

v [email protected]

123day123jones

IBM i-Service-Principal für System A:krbsvr400/[email protected]

systema123

Das folgende Planungsarbeitsblatt veranschaulicht, welche Informationen Sie benötigen, bevor Sie mit derKonfiguration des Kerberos-Servers in PASE für i und des Netzwerkauthentifizierungsservice beginnenkönnen. Alle Fragen auf dem Arbeitsblatt für Voraussetzungen und dem Planungsarbeitsblatt für Kenn-wörter müssen beantwortet werden, bevor Sie mit der Konfiguration des Kerberos-Servers in PASE für ifortfahren.

Tabelle 3. Planungsarbeitsblatt für die Konfiguration eines Kerberos-Servers in PASE für i und die Konfiguration desNetzwerkauthentifizierungsservice

Fragen Antworten

Wie lautet der Name des Kerberos-Standard-Realm? MYCO.COM

Befindet sich der Standard-Realm im Microsoft ActiveDirectory?

Nein

Wie heißt der Kerberos-Server, der auch als KDC (Key Distri-bution Center) bezeichnet wird, für diesen Kerberos-Stan-dard-Realm? An welchem Port ist der Kerberos-Serverempfangsbereit?

KDC: kdc1.myco.comPort: 88Anmerkung: Dies ist der Standardport für denKerberos-Server.

Möchten Sie einen Kennwortserver für diesen Standard-Realm konfigurieren?

NeinAnmerkung: Gegenwärtig werden Kennwortservervon IBM i PASE oder AIX nicht unterstützt.

16 IBM i: Netzwerkauthentifizierungsservice

Page 23: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 3. Planungsarbeitsblatt für die Konfiguration eines Kerberos-Servers in PASE für i und die Konfiguration desNetzwerkauthentifizierungsservice (Forts.)

Fragen Antworten

Für welche Services möchten Sie Chiffrierschlüsseleinträgeerstellen?

v IBM i-Kerberos-Authentifizierung

v LDAP

v IBM HTTP-Server

v IBM i NetServer

v NFS-Server

IBM i-Kerberos-Authentifizierung

Möchten Sie eine Stapeldatei erstellen, um das Hinzufügender Service-Principals zum Microsoft Active Directory zuautomatisieren?

Nicht anwendbar

Wie lautet der Standardbenutzername für den PASE für i-Administrator?

Welches Kennwort möchten Sie für den PASE für i-Adminis-trator angeben?

Benutzername: admin/adminKennwort: secret

Welche Namenskonvention soll für Ihre Principals, die Be-nutzer in Ihrem Netzwerk bezeichnen, verwendet werden?

Principals, die Benutzer bezeichnen, werden mit demin Kleinbuchstaben geschriebenen Familiennamen,gefolgt vom in Großbuchstaben geschriebenen Realm-Namen, angegeben.

Wie lauten die Principal-Namen der Kerberos-Benutzer fürdiese Benutzer:

v John Day

v Karen Jones

[email protected]@MYCO.COM

Wie lauten die IBM i-Benutzerprofilnamen für diese Benut-zer:

v John Day

v Karen Jones

JOHNDKARENJ

Wie lauten die Windows-Benutzernamen für diese Benutzer:

v John Day

v Karen Jones

johndaykarenjones

Wie lauten die Hostnamen für diese Windows-Workstations:

v PC von John Day

v PC von Karen Jones

pc1.myco.compc2.myco.com

Wie lautet der Name des IBM i-Service-Principals für SystemA?

krbsvr400/[email protected]: Der Name dieses Service-Principalsdient nur als Beispiel. Geben Sie in Ihrer Konfigurati-on den Hostnamen und die Domäne Ihres IBM i-Sys-tems als Name des Service-Principals an.

Kerberos-Server in IBM i PASE konfigurierenZur Konfiguration eines Kerberos-Servers in IBM i PASE auf System A sollten Sie die Informationen her-anziehen, die in Ihren Planungsarbeitsblättern dokumentiert sind.

Führen Sie die folgenden Schritte durch, um einen Kerberos-Server in IBM i PASE zu konfigurieren:1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM ein. Mit diesem Befehl wird eine inter-

aktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwendungen ermöglicht.2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf die

Kerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

Netzwerkauthentifizierungsservice 17

Page 24: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

3. Geben Sie in der Befehlszeile config.krb5 -S -d myco.com -r MYCO.COM ein. -d ist der DNS IhresNetzwerks und -r ist der Name des Realms. (In diesem Beispiel ist myco.com der DNS-Name undMYCO.COM der Realmname.) Dieser Befehl aktualisiert die Datei krb5.config mit dem Domänenna-men und dem Realm für den Kerberos-Server, erstellt die Kerberos-Datenbank innerhalb des integrier-ten Dateisystems und konfiguriert den Kerberos-Server in IBM i PASE. Sie werden aufgefordert, diefolgenden Kennwörter einzugeben:v Hauptkennwort für Datenbank: pasepwdv Kennwort für Principal admin/admin: secret

4. Drücken Sie F3 (Verlassen), um die PASE-Umgebung zu verlassen.

Verschlüsselungswerte auf dem IBM i PASE-Kerberos-Server ändernFalls erforderlich, ändern Sie die Standardverschlüsselungseinstellungen auf dem Kerberos-Server, damitClients auf dem IBM i PASE-Kerberos-Server authentifiziert werden können.

Zum Ändern der Standardverschlüsselungseinstellungen müssen Sie die Datei kdc.conf im Verzeichnis/etc/krb5 editieren. Gehen Sie dazu wie folgt vor:1. Geben Sie in einer zeichenbasierten Schnittstelle edtf '/var/krb5/krb5kdc/kdc.conf' ein, um auf die

Datei kdc.conf zuzugreifen.2. Die folgende Liste enthält die Verschlüsselungstypen. In der Liste können Werte hingefügt oder geän-

dert werden, damit die Liste die Verschlüsselungstypen enthält, die Sie unterstützen möchten.supported_enctypes = des3-cbc-sha1:normalarcfour-hmac:normal aes256-cts:normaldes-cbc-md5:normal des-cbc-crc:normal

Kerberos-Server in PASE für i stoppen und erneut startenDer Kerberos-Server muss in PASE für i gestoppt und erneut gestartet werden, damit die zuvor geänder-ten Verschlüsselungswerte aktualisiert werden.

Führen Sie die folgenden Schritte durch, um den Kerberos-Server zu stoppen und erneut zu starten:1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM in der Befehlszeile ein. Mit diesem Be-

fehl wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit PASE für i-Anwen-dungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie in der Befehlszeile stop.krb5 ein. Mit diesem Befehl wird der Kerberos-Server gestoppt.4. Geben Sie in der Befehlszeile start.krb5 ein. Mit diesem Befehl wird der Kerberos-Server gestartet.

Host-Principals für Windows-Workstations erstellenSie müssen die Host-Principals erstellen, die Kerberos zur Authentifizierung der PC-Benutzer verwendet.

Wenn Sie bereits mit PASE für i arbeiten, können Sie die Schritte 1 und 2 überspringen. Führen Sie diefolgenden Schritte durch, um die Host-Principals für die Workstations zu erstellen:1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM in der Befehlszeile ein. Mit diesem Be-

fehl wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit PASE für i-Anwen-dungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie in der Befehlszeile kadmin -p admin/admin ein, und drücken Sie die Eingabetaste.4. Melden Sie sich mit dem Kennwort des Administrators an. Beispiel: secret.5. Geben Sie bei der kadmin-Eingabeaufforderung addprinc -pw secret1 host/pc1.myco.com ein. Damit

wird ein Host-Principal für den PC von John Day erstellt.6. Geben Sie bei der kadmin-Eingabeaufforderung addprinc -pw secret2 host/pc2.myco.com ein. Damit

wird ein Host-Principal für den PC von Karen Jones erstellt.

18 IBM i: Netzwerkauthentifizierungsservice

Page 25: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

7. Geben Sie quit ein, um die kadmin-Schnittstelle zu verlassen.

Benutzer-Principals auf dem Kerberos-Server erstellenDamit Benutzer für Services im Netzwerk authentifiziert werden können, müssen Sie sie als Principalszum Kerberos-Server hinzufügen.

Principal ist der Kerberos-Begriff für die Kombination aus einem Benutzernamen und einem Kennwort.Diese Principals werden auf dem Kerberos-Server gespeichert und zur Validierung von Benutzern imNetzwerk verwendet. Führen Sie die folgenden Schritte durch, um Benutzer-Principals zu erstellen:1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM in der Befehlszeile ein. Mit diesem Be-

fehl wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit PASE für i-Anwen-dungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie in der Befehlszeile kadmin -p admin/admin ein, und drücken Sie die Eingabetaste.4. Melden Sie sich mit dem Kennwort des Administrators an. Beispiel: secret.5. Geben Sie bei einer kadmin-Eingabeaufforderung addprinc -pw 123day day ein.

Nach Abschluss dieser Schritte wird die folgende Nachricht ausgegeben:Principal "[email protected]" created.

Auf diese Weise wird der Benutzer-Principal für John Day erstellt.

Wiederholen Sie diese Schritte für Karen Jones, geben Sie dabei jedoch als Principal-Namen jones und alsKennwort 123jones ein.

Service-Principal von System A zum Kerberos-Server hinzufügenDamit IBM i-Schnittstellen Kerberos-Tickets akzeptieren können, müssen Sie diese als Principals zum Ker-beros-Server hinzufügen.

Führen Sie die folgenden Schritte durch, um den Service-Principal hinzuzufügen. Wenn Sie sich bereits inder kadmin-Umgebung befinden, können Sie die Schritte 1 bis 4 überspringen.1. Geben Sie in einer zeichenbasierten Schnittstelle in der Befehlszeile call QP2TERM ein. Mit diesem Be-

fehl wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwen-dungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie in der Befehlszeile kadmin -p admin/admin ein, und drücken Sie die Eingabetaste.4. Melden Sie sich mit dem Kennwort des Administrators an. Beispiel: secret.5. Geben Sie bei der kadmin-Eingabeaufforderung addprinc -pw systema123 krbsvr400/

systema.myco.com ein. Daraufhin erhalten Sie die folgende Nachricht:Principal "krbsvr400/[email protected]" created.

6. Geben Sie quit ein, um die kadmin-Schnittstelle zu verlassen, und drücken Sie F3 (Verlassen), um diePASE-Umgebung zu verlassen.

Windows-Workstations konfigurierenDieser Schritt ist optional für die Konfiguration eines Kerberos-Servers in PASE für i. Wenn Sie jedoch be-absichtigen, nach der Konfiguration des Kerberos-Servers eine Einzelanmeldungsumgebung zu erstellen,müssen Sie diesen Schritt durchführen. Ist das nicht der Fall, fahren Sie mit Schritt 9 (Netzwerkauthentifi-zierungsservice konfigurieren) fort.

Netzwerkauthentifizierungsservice 19

Page 26: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Konfigurieren die Client-Workstations als Bestandteil einer Arbeitsgruppe, indem Sie den Kerberos-Realmund den Kerberos-Server auf der Workstation festlegen. Sie müssen außerdem ein Kennwort festlegen,das der Workstation zugeordnet wird.

Führen Sie die folgenden Schritte durch, um die Workstations zu konfigurieren:1. Geben Sie in einer Befehlszeile auf der Windows-Workstation Folgendes ein:

C:> ksetup /setdomain MYCO.COMC:> ksetup /addkdc MYCO.COM kdc1.myco.com

2. Legen Sie das Kennwort des Kontos der lokalen Maschine fest, indem Sie bei der Eingabeaufforde-rung der Windows-Workstation Folgendes eingeben:

C:> ksetup /setmachpassword secret1

3. Ordnen Sie den Kerberos-Benutzer-Principal von John Day ([email protected]) seinem Windows-Be-nutzernamen (johnday) zu. Geben Sie bei der Eingabeaufforderung der Windows-Workstation Folgen-des ein:

C:> ksetup /mapuser [email protected] johnday

4. Möchten Sie überprüfen, ob der Kerberos-Benutzer-Principal von John Day mit seinem Windows-Be-nutzernamen übereinstimmt, geben Sie bei der Eingabeaufforderung der Windows-Workstation Fol-gendes ein:

C:> ksetup

Überprüfen Sie anschließend das Ergebnis.5. Starten Sie den PC erneut, damit die Änderungen wirksam werden.6. Wiederholen Sie diese Schritte für die Workstation von Karen Jones, geben Sie jedoch folgende Infor-

mationen ein:v Kennwort der lokalen Maschine: secret2v Kerberos-Benutzer-Principal: [email protected] Windows-Benutzername: karenjones

Zugehörige Konzepte:Szenario: Einzelanmeldungstestumgebung erstellen

Netzwerkauthentifizierungsservice konfigurierenFühren Sie die folgenden Schritte durch, um den Netzwerkauthentifizierungsservice zu konfigurieren.1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit.2. Erweitern Sie den Eintrag für Alle Tasks > Netzwerkauthentifizierungsservice und wählen Sie Kon-

figurieren aus, um den Konfigurationsassistenten zu starten.

Anmerkung: Nach der Konfiguration des Netzwerkauthentifizierungsservice lautet diese AuswahlRekonfigurieren.

3. Die Begrüßungsseite enthält Informationen zu den vom Assistenten erstellten Objekten. Klicken Sieauf Weiter.

4. Geben Sie auf der Seite 'Realm-Informationen angeben' im Feld Standard-Realm den Wert MYCO.COMein. Klicken Sie auf Weiter.

5. Geben Sie auf der Seite 'KDC-Informationen angeben' im Feld KDC für den Kerberos-Server den Wertkdc1.myco.com und im Feld Port den Wert 88 ein. Klicken Sie auf Weiter.

6. Wählen Sie auf der Seite 'Kennwortserverinformationen angeben' die Einstellung Nein aus. KlickenSie auf Weiter.

20 IBM i: Netzwerkauthentifizierungsservice

Page 27: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

7. Wählen Sie auf der Seite 'Chiffrierschlüsseleinträge auswählen' IBM i-Kerberos-Authentifizierungaus. Klicken Sie auf Weiter.

8. Geben Sie auf der Seite 'IBM i-Chiffrierschlüsseleintrag erstellen' ein Kennwort ein und bestätigen Siees. Klicken Sie anschließend auf Weiter. Beispiel: systema123. Dieses Kennwort wird verwendet, wennSystem A zum Kerberos-Server hinzugefügt wird.

9. Auf der Seite 'Zusammenfassung' können Sie die Details zur Konfiguration des Netzwerkauthentifi-zierungsservice überprüfen. Klicken Sie auf Fertig stellen.

Ausgangsverzeichnis für Benutzer auf System A erstellenJeder Benutzer, der eine Verbindung zum Betriebssystem IBM i und IBM i-Anwendungen herstellenmöchte, benötigt ein Verzeichnis im Ausgangsverzeichnis (/home). Dieses Verzeichnis enthält den Namendes Kerberos-Caches für Berechtigungsnachweise, der dem Benutzer zugeordnet ist.

Führen Sie die folgenden Schritte durch, um ein Ausgangsverzeichnis für die Benutzer auf System A zuerstellen:1. Geben Sie in einer IBM i-Befehlszeile CRTDIR '/home/Benutzerprofil' ein, wobei Benutzerprofil der

Name des IBM i-Benutzerprofils des Benutzers ist. Beispiel: CRTDIR '/home/JOHND' für den BenutzerJohn Day.

2. Wiederholen Sie den Befehl für Karen Jones, geben Sie dabei jedoch ihr IBM i-Benutzerprofil KARENJan.

Netzwerkauthentifizierungsservice testenZum Testen der Konfiguration des Netzwerkauthentifizierungsservice müssen Sie ein Ticket-granting Ti-cket für Ihren IBM i-Principal und andere Principals innerhalb Ihres Netzwerks anfordern.

Anmerkung: Vergewissern Sie sich, dass Sie ein Ausgangsverzeichnis für Ihr IBM i-Benutzerprofil erstellthaben, bevor Sie diesen Test ausführen.

Führen Sie die folgenden Schritte durch, um die Konfiguration des Netzwerkauthentifizierungsservice zutesten:1. Geben Sie in einer Befehlszeile QSH ein, um den Qshell Interpreter zu starten.2. Geben Sie keytab list ein, um eine Liste der Principals anzuzeigen, die in der Chiffrierschlüsseldatei

registriert sind. Die folgenden Ergebnisse sollten angezeigt werden:

Principal: krbsvr400/[email protected] version: 2Key type: 56-bit DES using key derivationEntry timestamp: 200X/05/29-11:02:58

3. Geben Sie kinit -k krbsvr400/[email protected] ein, um ein Ticket-granting Ticket vomKerberos-Server anzufordern. Mit diesem Befehl wird geprüft, ob Ihr System richtig konfiguriert wur-de und das Kennwort in der Chiffrierschlüsseldatei mit dem auf dem Kerberos-Server gespeichertenKennwort übereinstimmt. Wenn die Prüfung erfolgreich verläuft, dann werden für den Befehl QSHkeine Fehler ausgegeben.

4. Geben Sie klist ein, um sicherzustellen, dass der Standard-Principal krbsvr400/[email protected] lautet. Mit diesem Befehl wird der Inhalt eines Kerberos-Caches fürBerechtigungsnachweise angezeigt und geprüft, ob ein gültiges Ticket für den IBM i-Service-Principalerstellt und in den Cache für Berechtigungsnachweise auf dem System aufgenommen wurde.

Netzwerkauthentifizierungsservice 21

Page 28: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Ticket cache:FILE:/QIBM/USERDATA/OS400/NETWORKAUTHENTICATION/creds/krbcred

Default principal: krbsvr400/[email protected]

Server: krbtgt/[email protected] 200X/06/09-12:08:45 to 20XX/11/05-03:08:45

$

Sie haben die Schritte durchgeführt, die erforderlich sind, um das System als Kerberos-Server zu konfigu-rieren, und Sie können die Benutzer im Realm MYCO.COM mit Kerberos authentifizieren.

Szenario: Netzwerkauthentifizierungsservice konfigurierenIm Folgenden erfahren Sie, welche Voraussetzungen zum Hinzufügen des Netzwerkauthentifizierungsser-vice zu Ihrem Netzwerk erfüllt werden müssen und zu welchem Zweck dieser Service hinzugefügt wird.

Situation

Sie sind ein Netzwerkadministrator, der das Netzwerk für die Auftragsannahmeabteilung in Ihrem Unter-nehmen verwaltet. Sie haben kürzlich ein IBM i-System zum Netzwerk hinzugefügt, auf dem verschiede-ne Anwendungen ausgeführt werden sollen, die für Ihre Abteilung erforderlich sind. In Ihrem Netzwerkverwalten Sie Benutzer mit Microsoft Active Directory auf einem Microsoft Windows-Server. Gegenwärtigverwenden alle Ihre Benutzer Workstations, auf denen das Betriebssystem Microsoft Windows ausgeführtwird. Sie haben eigene Kerberos-fähige Anwendungen, die Generic Security Service (GSS)-APIs verwen-den.

Dieses Szenario hat folgende Vorteile:v Der Authentifizierungsprozess für Benutzer wird vereinfacht.v Der Systemaufwand für die Zugriffsverwaltung bezüglich der Systeme im Netzwerk wird verringert.v Das Sicherheitsrisiko durch Kennwortdiebstahl wird verringert.

Ziele

In diesem Szenario möchte MyCo, Inc. ein IBM i-System zu einem vorhandenen Realm hinzufügen, indem ein Windows-Server als Kerberos-Server fungiert. Die IBM i-Plattform enthält verschiedene ge-schäftskritische Anwendungen, auf die nur die richtigen Benutzer Zugriff haben sollen. Benutzer müssenvom Kerberos-Server authentifiziert werden, um die Zugriffsberechtigung für diese Anwendungen zu er-halten.

Dieses Szenario hat die folgenden Ziele:v Der IBM i-Plattform soll die Nutzung eines vorhandenen Kerberos-Servers ermöglicht werden.v Es sollen sowohl Principal-Namen als auch Benutzernamen im Netzwerk zugelassen werden.v Kerberos-Benutzern soll die Änderung eigener Kennwörter auf dem Kerberos-Server ermöglicht wer-

den.

22 IBM i: Netzwerkauthentifizierungsservice

Page 29: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Details

Die folgende Abbildung veranschaulicht die Netzwerkkenndaten von MyCo.

System A

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– Qshell Interpreter (5770-SS1 Option 30)– Network Authentication Enablement (5770-NAE)

v Der Principal-Name für System A lautet krbsvr400/[email protected].

Windows-Server

v Fungiert als Kerberos-Server für den Realm MYCO.COM.v Der vollständig qualifizierte Hostname des Kerberos-Servers lautet kdc1.myco.com.

Client-PCs

v Verwenden Windows.

Netzwerkauthentifizierungsservice 23

Page 30: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Voraussetzungen und Annahmen1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-

den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob die erforderlichen Lizenzprogramme instal-liert wurden:a. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Konfiguration und Ser-

vice > Software und wählen Sie Installierte Produkte aus.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

2. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP und die Basissystemsicherheit wurden auf jedem dieser Server konfiguriert und getestet.4. Für die Auflösung der Hostnamen im Netzwerk wird ein einziger DNS-Server verwendet. Es werden

keine Hosttabellen für die Auflösung der Hostnamen verwendet.

Anmerkung: Die Verwendung von Hosttabellen bei der Kerberos-Authentifizierung kann zu Fehlernbei der Namensauflösung oder anderen Problemen führen. Ausführliche Informationen zur Auflösungvon Hostnamen bei der Kerberos-Authentifizierung finden Sie unter „Hinweise zur Auflösung vonHostnamen” auf Seite 83.

Konfigurationsschritte

Führen Sie die folgenden Schritte aus, um den Netzwerkauthentifizierungsservice auf Ihrem System zukonfigurieren.

Planungsarbeitsblätter ausfüllenVor der Konfiguration des Netzwerkauthentifizierungsservice müssen Sie die folgenden Planungsarbeits-blätter ausfüllen.

Alle Fragen auf dem Arbeitsblatt für Voraussetzungen müssen mit Ja beantwortet werden, bevor Sie mitder Konfiguration des Netzwerkauthentifizierungsservice fortfahren.

Tabelle 4. Arbeitsblatt für Voraussetzungen

Fragen Antworten

Arbeitet Ihr System mit IBM i 5.4 oder einer höheren Version (5770-SS1)? Ja

Sind die folgenden Lizenzprogramme auf System A installiert:

v IBM i Host Servers (5770-SS1 Option 12)

v Qshell Interpreter (5770-SS1 Option 30)

v Network Authentication Enablement (5770-NAE)

Ja

Ist Windows auf Ihren PCs installiert? Ja

Verfügen Sie über die Sonderberechtigungen *SECADM, *ALLOBJ und *IOSYSCFG? Ja

Ist eines der folgenden Produkte auf dem sicheren System, das als Kerberos-Serverfungieren soll, installiert? Wenn ja, welches?

1. Windows-Server

2. AIX-Server

3. PASE für i (5.4 oder höher)

4. z/OS

Ja, Windows-Server

Sind alle PCs Ihres Netzwerks in einer Windows-Domäne konfiguriert?Anmerkung: Eine Windows-Domäne ist mit einem Kerberos-Realm vergleichbar.

Ja

Wurden die neuesten PTFs (vorläufigen Programmkorrekturen) angelegt? Ja

24 IBM i: Netzwerkauthentifizierungsservice

Page 31: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 4. Arbeitsblatt für Voraussetzungen (Forts.)

Fragen Antworten

Beträgt die Abweichung zwischen der Systemzeit des IBM i-Systems und der System-zeit des Kerberos-Servers maximal fünf Minuten? Ist die Abweichung größer, lesenSie die Informationen unter „Systemzeiten synchronisieren” auf Seite 103.

Ja

Tabelle 5. Planungsarbeitsblatt für Netzwerkauthentifizierungsservice

Fragen Antworten

Wie lautet der Name des Kerberos-Standard-Realms, zu dem Ihr Sys-tem gehören soll?Anmerkung: Eine Windows-Domäne ist mit einem Kerberos-Realmvergleichbar.

MYCO.COM

Verwenden Sie Microsoft Active Directory? Ja

Welcher Kerberos-Server wird für diesen Kerberos-Standard-Realmverwendet? An welchem Port ist der Kerberos-Server empfangsbereit?

KDC: kdc1.myco.comPort: 88Anmerkung: Dies ist der Standardport fürden Kerberos-Server.

Möchten Sie einen Kennwortserver für diesen Standard-Realm konfi-gurieren? Wenn ja, beantworten Sie die folgenden Fragen:

Wie lautet der Name des Kennwortservers für diesen Kerberos-Server?An welchem Port ist der Kennwortserver empfangsbereit?

Ja

Kennwortserver:kdc1.myco.comPort: 464Anmerkung: Dies ist der Standardport fürden Kennwortserver.

Für welche Services möchten Sie Chiffrierschlüsseleinträge erstellen?

v IBM i-Kerberos-Authentifizierung

v LDAP

v IBM HTTP-Server

v IBM i NetServer

v NFS-Server

IBM i-Kerberos-Authentifizierung

Welches Kennwort soll für Ihre IBM i-Service-Principals verwendetwerden?

systema123

Möchten Sie eine Stapeldatei erstellen, um das Hinzufügen der Ser-vice-Principals zum Microsoft Active Directory zu automatisieren?

Ja

Welche IBM i-Benutzerprofilnamen werden für John Day und SharonJones verwendet?

JOHNDSHARONJ

Netzwerkauthentifizierungsservice auf System A konfigurierenFühren Sie die folgenden Schritte durch, um den Netzwerkauthentifizierungsservice zu konfigurieren.1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit.2. Erweitern Sie den Eintrag für Alle Tasks > Netzwerkauthentifizierungsservice und wählen Sie Kon-

figurieren aus, um den Konfigurationsassistenten zu starten.

Anmerkung: Nach der Konfiguration des Netzwerkauthentifizierungsservice lautet diese AuswahlRekonfigurieren.

3. Die Begrüßungsseite enthält Informationen zu den vom Assistenten erstellten Objekten. Klicken Sieauf Weiter.

4. Geben Sie auf der Seite 'Realm-Informationen angeben' im Feld Standard-Realm den Wert MYCO.COMein und wählen Sie Microsoft Active Directory wird für Kerberos-Authentifizierung verwendetaus. Klicken Sie auf Weiter.

Netzwerkauthentifizierungsservice 25

Page 32: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

5. Geben Sie auf der Seite 'KDC-Informationen angeben' im Feld KDC für den Kerberos-Server denWert kdc1.myco.com und im Feld Port den Wert 88 ein. Klicken Sie auf Weiter.

6. Wählen Sie auf der Seite 'Kennwortserverinformationen angeben' die Einstellung Ja aus. Geben Sieim Feld Kennwortserver den Wert kdc1.myco.com und im Feld Port den Wert 464 ein. Klicken Sieauf Weiter.

7. Wählen Sie auf der Seite 'Chiffrierschlüsseleinträge auswählen' IBM i-Kerberos-Authentifizierungaus. Klicken Sie auf Weiter.

8. Geben Sie auf der Seite 'IBM i-Chiffrierschlüsseleintrag erstellen' ein Kennwort ein, und bestätigenSie es. Beispiel: systema123. Dieses Kennwort wird verwendet, wenn System A zum Kerberos-Serverhinzugefügt wird. Klicken Sie auf Weiter.

9. Optional: Wählen Sie auf der Seite 'Stapeldatei erstellen' die Einstellung Ja aus, um diese Datei zu er-stellen, und machen Sie die folgenden Angaben:v Stapeldatei: Fügen Sie am Ende des standardmäßig verwendeten Stapeldateinamens die Zeichen-

folge systema an. Beispiel: /QIBM/UserData/OS400/iSeriesNavigator/config/NASConfig_systema.bat.

v Wählen Sie Kennwort einfügen aus. Dies garantiert, dass alle Kennwörter, die dem IBM i-Service-Principal zugeordnet sind, in die Stapeldatei eingefügt werden. Beachten Sie, dass Kennwörter inKlartext angezeigt werden und von jeder Person mit Lesezugriffsberechtigung für die Stapeldateigelesen werden können. Daher wird empfohlen, dass Sie die Stapeldatei nach dem Gebrauch un-verzüglich vom Kerberos-Server und aus IBM i löschen.

Anmerkung: Alternativ dazu können Sie Service-Principals, die vom Assistenten generiert wur-den, manuell zum Kerberos-Server hinzufügen. Informationen zum manuellen Hinzufügen desIBM i-Service-Principals zum Kerberos-Server finden Sie in „IBM i-Principals zum Kerberos-Serverhinzufügen” auf Seite 98.

10. Auf der Seite 'Zusammenfassung' können Sie die Details zur Konfiguration des Netzwerkauthentifi-zierungsservice überprüfen. Klicken Sie auf Fertig stellen.

Principal von System A zum Kerberos-Server hinzufügenSie können dem Kerberos-Server manuell einen IBM i-Service-Principal hinzufügen. Wie im folgendenSzenario dargestellt, können Sie auch die in Schritt 2 erstellte Stapeldatei verwenden, um den Principalhinzuzufügen.

Zur Verwendung der Stapeldatei können Sie die Datei mit der IFS-Downloadfunktion in IBM Navigatorfor i auf den Kerberos-Server kopieren und dann ausführen. Führen Sie die folgenden Schritte durch, umden Principal anhand der Stapeldatei zum Kerberos-Server hinzuzufügen:1. Vom Assistenten erstellte Stapeldatei auf den Kerberos-Server herunterladen

a. Gehen Sie als Administrator Ihres Windows-Servers wie folgt vor:1) Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Datei-

systeme > Integrated File System > Root > QIBM > UserData > OS400 > iSeriesNavigator >config.

2) Klicken Sie mit der rechten Maustaste auf NASConfig_systema.bat und wählen Sie Downloadaus.

3) Klicken Sie in der Bestätigungsanzeige zum Herunterladen auf Download.4) Speichern Sie die Datei. Sie wird daraufhin an der Speicherposition für den Download Ihres

Browsers gespeichert. Lesen Sie in der Browserdokumentation nach, wie die Position desDownloadordners geändert werden kann. Üblicherweise ist dies der Ordner Downloads.

Anmerkung: Es wird empfohlen, dass Sie die Datei NASConfig_systema.bat jetzt auf System Alöschen.

2. Stapeldatei auf kdc1.myco.com ausführen.

26 IBM i: Netzwerkauthentifizierungsservice

Page 33: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

a. Öffnen Sie auf dem Windows-Server den Ordner, in den Sie die Stapeldatei heruntergeladen ha-ben.

b. Suchen Sie die Datei NASConfig_systema.bat und führen Sie sie durch Doppelklicken aus.c. Vergewissern Sie sich nach der Ausführung der Datei, dass der IBM i-Principal zum Kerberos-Ser-

ver hinzugefügt wurde. Führen Sie dazu die folgenden Schritte durch:1) Erweitern Sie auf dem Windows-Server den Eintrag für Start > Programme > Verwaltungs-

tools > Active Directory-Benutzer und Computer > Benutzer.2) Vergewissern Sie sich, dass das System über ein Benutzerkonto verfügt, indem Sie die entspre-

chende Windows-Domäne auswählen.

Anmerkung: Diese Windows-Domäne muss mit dem Namen des Standard-Realms überein-stimmen, den Sie bei der Konfiguration des Netzwerkauthentifizierungsservice angegeben ha-ben.

3) Suchen Sie in der angezeigten Benutzerliste den Eintrag systema_1_krbsvr400. Dies ist das Be-nutzerkonto, das für den IBM i-Principal-Namen generiert wurde.

4) Optional: Rufen Sie die Eigenschaften des Active Directory-Benutzers auf. Wählen Sie auf derRegisterkarte Delegierung die Option Benutzer bei Delegierungen aller Dienste vertrauen(nur Kerberos) aus.

Anmerkung: Dieser optionale Schritt ermöglicht es Ihrem System, den Berechtigungsnachweiseines Benutzers an andere Systeme zu delegieren oder weiterzuleiten. Folglich kann der IBM i-Service-Principal im Namen des Benutzers auf Services zuzugreifen, die sich auf mehreren Sys-temen befinden. Dies ist besonders in einem Netzwerk mit mehreren Ebenen von Vorteil.

Anmerkung: Es wird empfohlen, dass Sie die Datei NASConfig_systema.bat jetzt auf Ihrem Win-dows-Server löschen.

Ausgangsverzeichnis für Benutzer auf System A erstellenJeder Benutzer, der eine Verbindung zu IBM i und zu IBM i-Anwendungen herstellen möchte, benötigtein Verzeichnis im Ausgangsverzeichnis (/home). Dieses Verzeichnis enthält den Namen des Kerberos-Caches für Berechtigungsnachweise, der dem Benutzer zugeordnet ist.

Gehen Sie folgendermaßen vor, um ein Ausgangsverzeichnis für einen Benutzer zu erstellen:1. Geben Sie in einer IBM i-Befehlszeile CRTDIR '/home/Benutzerprofil' ein, wobei Benutzerprofil der

Name des IBM i-Benutzerprofils des Benutzers ist. Beispiel: CRTDIR '/home/JOHND' für den BenutzerJohn Day.

2. Wiederholen Sie den Befehl für Sharon Jones, geben Sie dabei jedoch ihr IBM i-Benutzerprofil SHARONJan.

Netzwerkauthentifizierungsservice auf System A testenUm sicherzustellen, dass der Netzwerkauthentifizierungsservice ordnungsgemäß konfiguriert wurde,müssen Sie ein Ticket-granting Ticket für den Principal von System A anfordern.

Führen Sie die folgenden Schritte durch, um den Netzwerkauthentifizierungsservice zu testen:1. Geben Sie in einer Befehlszeile QSH ein, um den Qshell Interpreter zu starten.2. Geben Sie keytab list ein, um eine Liste der Principals anzuzeigen, die in der Chiffrierschlüsseldatei

registriert sind. Die folgenden Ergebnisse sollten angezeigt werden:

Principal: krbsvr400/[email protected] version: 2Key type: 56-bit DES using key derivationEntry timestamp: 200X/05/29-11:02:58

3. Geben Sie kinit -k krbsvr400/[email protected] ein, um ein Ticket-granting Ticket vomKerberos-Server anzufordern. Mit diesem Befehl wird geprüft, ob Ihr System richtig konfiguriert wur-

Netzwerkauthentifizierungsservice 27

Page 34: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

de und das Kennwort in der Chiffrierschlüsseldatei mit dem auf dem Kerberos-Server gespeichertenKennwort übereinstimmt. Wenn die Prüfung erfolgreich verläuft, dann werden für den Befehl QSHkeine Fehler ausgegeben.

4. Geben Sie klist ein, um sicherzustellen, dass der Standard-Principal krbsvr400/[email protected] lautet. Mit diesem Befehl wird der Inhalt eines Kerberos-Caches fürBerechtigungsnachweise angezeigt und geprüft, ob ein gültiges Ticket für den IBM i-Service-Principalerstellt und in den Cache für Berechtigungsnachweise auf dem System aufgenommen wurde.

Ticket cache:FILE:/QIBM/USERDATA/OS400/NETWORKAUTHENTICATION/creds/krbcred

Default principal: krbsvr400/[email protected]

Server: krbtgt/[email protected] 200X/06/09-12:08:45 to 20XX/11/05-03:08:45

$

Sie haben die Tasks, die zur Konfiguration des Netzwerkauthentifizierungsservice auf System A erforder-lich sind, abgeschlossen.

Szenario: Cross-Realm-Vertrauensbeziehung konfigurierenIm Folgenden erfahren Sie, welche Voraussetzungen zum Konfigurieren einer Cross-Realm-Vertrauensbe-ziehung in Ihrem Netzwerk erfüllt werden müssen und zu welchem Zweck diese Konfiguration dient.

Situation

Sie sind Sicherheitsadministrator für ein Großhandelsunternehmen. Gegenwärtig verwalten Sie die Sicher-heit für Systeme, die von Mitarbeitern der Auftragsannahme- und der Versandabteilung verwendet wer-den. Sie haben einen Kerberos-Server für die Auftragsannahmeabteilung konfiguriert. Sie haben denNetzwerkauthentifizierungsservice in der IBM i-Umgebung in dieser Abteilung so konfiguriert, dass erauf diesen Kerberos-Server verweist. Die Versandabteilung arbeitet mit einem IBM i-System, das einen inPASE für i konfigurierten Kerberos-Server besitzt. Sie haben auf diesem IBM i-System den Netzwerkau-thentifizierungsservice auch so konfiguriert, dass er auf den Kerberos-Server in PASE für i verweist.

Da Benutzer in beiden Realms Services verwenden müssen, die auf Systemen in jeder der Abteilungengespeichert sind, sollen beide Kerberos-Server in jeder der Abteilungen Benutzer unabhängig davon au-thentifizieren, in welchem Kerberos-Realm sie sich befinden.

Ziele

In diesem Szenario möchte MyCo, Inc. eine Vertrauensbeziehung zwischen zwei bereits bestehenden Ker-beros-Realms herstellen. Ein Realm besteht aus einem Windows-Server, der als Kerberos-Server für dieAuftragsannahmeabteilung fungiert. Dieser Server authentifiziert Benutzer, die in dieser Abteilung arbei-ten, für Services, die auf einer IBM i-Plattform installiert sind. Der andere Realm besteht aus einem Ker-beros-Server, der in PASE für i auf einer IBM i-Plattform konfiguriert ist, die Services für die Benutzer inder Versandabteilung zur Verfügung stellt. Die Benutzer müssen für Services in beiden Abteilungen au-thentifiziert werden.

Dieses Szenario hat die folgenden Ziele:v Clients und Hosts in jedem Netzwerk die Zugriffsberechtigung für das jeweils andere Netzwerk ertei-

lenv Authentifizierung in Netzwerken vereinfachenv Ticket-Delegierung für Benutzer und Services in beiden Netzwerken zulassen

28 IBM i: Netzwerkauthentifizierungsservice

Page 35: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Details

Im Folgenden finden Sie eine detaillierte Beschreibung der Umgebung, die in diesem Szenario verwendetwird, einschließlich einer Abbildung, die die Topologie und alle wichtigen Elemente dieser Umgebung so-wie deren wechselseitige Beziehungen veranschaulicht.

Auftragsannahmeabteilung

System A

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– Network Authentication Enablement (5770-NAE)

v Der Netzwerkauthentifizierungsservice ist für die Nutzung des Realms ORDEPT.MYCO.COM konfigu-riert. Der IBM i-Principal krbsrv400/[email protected] wurde zur Win-dows-Domäne hinzugefügt.

v System A hat den vollständig qualifizierten Hostnamen systema.ordept.myco.com.

Windows-Server

v Fungiert als Kerberos-Server für den Realm ORDEPT.MYCO.COM.v Hat den DNS-Hostnamen kdc1.ordept.myco.com.v Jeder Benutzer, der in der Auftragsannahmeabteilung arbeitet, wurde im Microsoft Active Directory auf

dem Windows-Server mit einem Principal-Namen und -Kennwort definiert.

Client-PCs

v Verwenden das Betriebssystem Windows.

Versandabteilung

System B

Netzwerkauthentifizierungsservice 29

Page 36: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Arbeitet mit IBM i 5.4 mit den folgenden installierten Optionen und Lizenzprogrammen:– PASE für i (5770-SS1 Option 33)– Network Authentication Enablement (5770-NAE)

v Hat einen in PASE für i konfigurierten Kerberos-Server mit dem Realm SHIPDEPT.MYCO.COM.v Der Netzwerkauthentifizierungsservice ist für die Nutzung des Realms SHIPDEPT.MYCO.COM konfi-

guriert. Der IBM i-Principal krbsrv400/[email protected] wurdedem PASE für i-Kerberos-Server hinzugefügt.

v System B und der PASE für i-Kerberos-Server verwenden den vollständig qualifizierten Hostnamensystemb.shipdept.myco.com gemeinsam.

v Jeder Benutzer, der in der Versandabteilung arbeitet, wurde auf dem PASE für i-Kerberos-Server mit ei-nem Principal-Namen und einem entsprechenden Kennwort definiert.

Client-PCs

v Verwenden das Betriebssystem Windows.

Voraussetzungen und Annahmen

In diesem Szenario werden die folgenden Punkte als gegeben vorausgesetzt; das Szenario konzentriertsich auf die Tasks zur Herstellung einer Vertrauensbeziehung zwischen zwei bereits bestehenden Kerbe-ros-Realms.

System A - Voraussetzungen

1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob die erforderlichen Lizenzprogramme instal-liert wurden:a. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Konfiguration und Ser-

vice > Software und wählen Sie Installierte Produkte aus.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

2. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP und die Basissystemsicherheit wurden auf System A konfiguriert und getestet.4. Der Netzwerkauthentifizierungsservice wurde konfiguriert und getestet.5. Für die Auflösung der Hostnamen im Netzwerk wird ein einziger DNS-Server verwendet. Es werden

keine Hosttabellen für die Auflösung der Hostnamen verwendet.

Anmerkung: Die Verwendung von Hosttabellen bei der Kerberos-Authentifizierung kann zu Fehlernbei der Namensauflösung oder anderen Problemen führen. Ausführliche Informationen zur Auflösungvon Hostnamen bei der Kerberos-Authentifizierung finden Sie unter „Hinweise zur Auflösung vonHostnamen” auf Seite 83.

System B - Voraussetzungen

1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob die erforderlichen Lizenzprogramme instal-liert wurden:a. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Konfiguration und Ser-

vice > Software und wählen Sie Installierte Produkte aus.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

2. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP und die Basissystemsicherheit wurden auf Ihrem System konfiguriert und getestet.

30 IBM i: Netzwerkauthentifizierungsservice

Page 37: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

4. Der Netzwerkauthentifizierungsservice wurde konfiguriert und getestet.

Windows-Server - Voraussetzungen

1. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.2. TCP/IP wurde auf dem Server konfiguriert und getestet.3. Microsoft Active Directory wurde konfiguriert und getestet.4. Jeder Benutzer, der in der Auftragsannahmeabteilung arbeitet, wurde im Microsoft Active Directory

mit einem Principal-Namen und -Kennwort definiert.

Konfigurationsschritte

Gehen Sie wie folgt vor, um eine Vertrauensbeziehung zwischen zwei Realms zu definieren.

Planungsarbeitsblätter ausfüllenVor der Definition einer Cross-Realm-Vertrauensbeziehung müssen Sie die folgenden Planungsarbeitsblät-ter ausfüllen.

Alle Fragen auf dem Arbeitsblatt für die Voraussetzungen müssen mit Ja beantwortet werden, bevor Siemit der Konfiguration einer Cross-Realm-Vertrauensbeziehung fortfahren.

Tabelle 6. Planungsarbeitsblatt für Voraussetzungen

Fragen Antworten

Arbeitet Ihr System mit IBM i 5.4 oder einer höheren Version (5770-SS1)? Ja

Sind auf System A die folgenden Optionen und Lizenzprogramme installiert:

v IBM i Host Servers (5770-SS1 Option 12)

v Network Authentication Enablement (5770-NAE)

Ja

Sind die folgenden Lizenzprogramme auf System B installiert:

v Network Authentication Enablement (5770-NAE)

v PASE für i (5770-SS1 Option 33)

Ja

Ist auf allen PCs Windows installiert? Ja

Besitzen Sie die Sonderberechtigung *ALLOBJ für die Systeme? Ja

Besitzen Sie die Administratorberechtigung für den Windows-Server? Ja

Ist der DNS konfiguriert und verwenden Sie die richtigen Hostnamen für die IBMi-Plattform und den Kerberos-Server?

Ja

Unter welchem Betriebssystem möchten Sie den Kerberos-Server konfigurieren?

1. Windows-Server

2. AIX-Server

3. PASE für i (5.4 oder höher)

4. z/OS

PASE für i

Wurden die neuesten PTFs (vorläufigen Programmkorrekturen) angelegt? Ja

Beträgt die Abweichung zwischen der Systemzeit des IBM i-Systems und der System-zeit des Kerberos-Servers maximal fünf Minuten? Ist die Abweichung größer, lesenSie die Informationen unter „Systemzeiten synchronisieren” auf Seite 103.

Ja

Das folgende Planungsarbeitsblatt veranschaulicht die Art der Informationen, die Sie benötigen, um mitder Konfiguration der Cross-Realm-Vertrauensbeziehung beginnen zu können.

Netzwerkauthentifizierungsservice 31

Page 38: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 7. Planungsarbeitsblatt für Cross-Realm-Vertrauensbeziehung

Planungsarbeitsblatt für Cross-Realm-Vertrauensbeziehung

Antworten

Wie lauten die Namen der Realms, für die Sie eineVertrauensbeziehung herstellen möchten?

v Der Kerberos-Realm, der den Windows-Server alsKerberos-Server verwendet

v Der Kerberos-Realm, der System B als Kerberos-Ser-ver (konfiguriert in PASE für i) verwendet

ORDEPT.MYCO.COMSHIPDEPT.MYCO.COM

Wurden alle IBM i-Service-Principals und Benutzer-Principals den entsprechenden Kerberos-Servern zuge-ordnet?

Ja

Wie lautet der Standardbenutzername für den PASE-Administrator?

Welches Kennwort möchten Sie für den PASE für i-Ad-ministrator angeben?Anmerkung: Dieses Kennwort muss mit dem Kenn-wort übereinstimmen, das Sie bei der Einrichtung desKerberos-Servers in PASE für i verwendet haben.

Benutzername: admin/adminKennwort: secret

Wie lauten die Principal-Namen, die zur Konfigurationder Cross-Realm-Vertrauensbeziehung verwendet wer-den?

Wie lautet das Kennwort für jeden dieser Principals?

Principal:krbtgt/[email protected]

Kennwort: shipord1Principal:krbtgt/[email protected]

Kennwort: shipord2

Wie lauten die vollständig qualifizierten Hostnamen fürdie einzelnen Kerberos-Server dieser Realms?

v ORDEPT.MYCO.COM

v SHIPDEPT.MYCO.COM

kdc1.ordept.myco.comsystemb.shipdept.myco.com

Weichen die Systemzeiten aller Systeme nicht mehr alsfünf Minuten voneinander ab? Ist die Abweichung grö-ßer, lesen Sie die Informationen unter „Systemzeitensynchronisieren” auf Seite 103.

Ja

Ordnungsgemäßen Start des Kerberos-Servers in IBM i PASE auf System B über-prüfenVor der Konfiguration einer Cross-Realm-Vertrauensbeziehung müssen Sie überprüfen, ob der IBM i PA-SE-Kerberos-Server gestartet wurde.

Sie verwenden den Verarbeitungsstatistikbefehl, um zu ermitteln, ob der IBM i PASE-Kerberos-Server ge-startet wurde.1. Geben Sie in einer zeichenbasierten Schnittstelle auf System B call QP2TERM ein. Mit diesem Befehl

wird eine interaktive Shell-Umgebung geöffnet, in der Sie mit IBM i PASE-Anwendungen arbeitenkönnen.

32 IBM i: Netzwerkauthentifizierungsservice

Page 39: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

2. Geben Sie in der Befehlszeile ps -ef | grep krb5 ein. Dieser Befehl zeigt an, dass Sie für jeden Pro-zess im System, der die Zeichenfolge krb5 enthält, alle Verarbeitungsstatistiken anzeigen möchten.Wird der Kerberos-Server ausgeführt, werden möglicherweise Ergebnisse wie die folgenden angezeigt:

> ps -ef | grep krb5qsys 113 1 0 08:54:04 - 0:00 /usr/krb5/sbin/krb5kdcqsys 123 1 0 08:54:13 - 0:00 /usr/krb5/sbin/kadmind

$

Wurde der Kerberos-Server nicht gestartet, werden möglicherweise die folgenden Ergebnisse ange-zeigt:

> ps -ef | grep krb5$

3. Führen Sie die folgenden Schritte durch, wenn der Kerberos-Server nicht gestartet wurde:a. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein, und drücken Sie die Einga-

betaste.b. Geben Sie start.krb5 ein, und drücken Sie die Eingabetaste.

> start.krb5Starting krb5kdc...krb5kdc was started successfully.Starting kadmind...kadmind was started successfully.The command completed successfully.$

Principal für Cross-Realm-Vertrauensbeziehung auf dem IBM i PASE-Kerberos-Ser-ver erstellenFühren Sie die folgenden Schritte durch, um einen Principal für eine Cross-Realm-Vertrauensbeziehungauf dem IBM i PASE-Kerberos-Server zu erstellen.1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM ein. Mit diesem Befehl wird eine inter-

aktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwendungen ermöglicht.2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf die

Kerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.3. Geben Sie in der Befehlszeile kadmin -p admin/admin ein, und drücken Sie die Eingabetaste.4. Melden Sie sich mit dem Kennwort des Administrators an. Beispiel: secret.5. Geben Sie bei der kadmin-Eingabeaufforderung addprinc krbtgt/[email protected]

ein. Sie werden aufgefordert, ein Kennwort für den Principal "krbtgt/[email protected]" einzugeben. Geben Sie shipord1 als Kennwort ein.Drücken Sie die Eingabetaste. Sie werden aufgefordert, dieses Kennwort erneut einzugeben. Außer-dem erhalten Sie die folgende Nachricht:

Principal "krbtgt/[email protected]" created.

6. Geben Sie bei der kadmin-Eingabeaufforderung addprinc krbtgt/[email protected]. Sie werden aufgefordert, ein Kennwort für den Principal "krbtgt/[email protected]" einzugeben. Geben Sie shipord2 als Kennwort ein.Drücken Sie die Eingabetaste. Sie werden aufgefordert, dieses Kennwort erneut einzugeben. Außer-dem erhalten Sie die folgende Nachricht:

Principal "krbtgt/[email protected]" created.

7. Geben Sie quit ein, um die kadmin-Schnittstelle zu verlassen, und drücken Sie F3 (Verlassen), um diePASE-Umgebung zu verlassen.

Netzwerkauthentifizierungsservice 33

Page 40: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Verschlüsselungswerte auf dem IBM i PASE-Kerberos-Server ändernFalls erforderlich, ändern Sie die Standardverschlüsselungseinstellungen auf dem Kerberos-Server, damitClients auf dem IBM i PASE-Kerberos-Server authentifiziert werden können.

Zum Ändern der Standardverschlüsselungseinstellungen müssen Sie die Datei kdc.conf im Verzeichnis/var/krb5/krb5kdc editieren. Gehen Sie dazu wie folgt vor:1. Geben Sie in einer zeichenbasierten Schnittstelle edtf '/var/krb5/krb5kdc/kdc.conf' ein, um auf die

Datei kdc.conf zuzugreifen.2. Die folgende Liste enthält die Verschlüsselungstypen. In der Liste können Werte hingefügt oder geän-

dert werden, damit die Liste die Verschlüsselungstypen enthält, die Sie unterstützen möchten.supported_enctypes = des3-cbc-sha1:normalarcfour-hmac:normal aes256-cts:normaldes-cbc-md5:normal des-cbc-crc:normal

Windows-Server zur Anerkennung von SHIPDEPT.MYCO.COM konfigurierenSie haben System B so konfiguriert, dass es den Realm ORDEPT.MYCO.COM als vertrauenswürdig ak-zeptiert. Jetzt müssen Sie den Windows-Server so konfigurieren, dass er den Realm SHIPDEPT.MYCO-.COM als vertrauenswürdig akzeptiert.

Führen Sie die folgenden Schritte durch, um den Windows-Server zu konfigurieren:1. Melden Sie sich mit Ihrem Administratorkonto am Windows-Server an.2. Klicken Sie im Startmenü auf Programme > Verwaltungstools > Active Directory-Domänen und

Vertrauensstellungen.3. Klicken Sie auf der Seite 'Active-Directory-Domänen und Vertrauensstellungen' mit der rechten

Maustaste auf den Realm ORDEPT.MYCO.COM (wird innerhalb der Windows-Schnittstelle auch alsWindows-Domäne bezeichnet) und wählen Sie Eigenschaften aus.

4. Klicken Sie auf der Registerkarte Vertrauensbeziehung in der Tabelle Domänen, denen diese Domä-ne vertraut auf Hinzufügen.

5. Geben Sie auf der Seite 'Vertraute Domänen hinzufügen' im Feld Vertraute Domäne die ZeichenfolgeSHIPDEPT.MYCO.COM ein. Geben Sie shipord1 als Kennwort ein.

6. Das Dialogfenster Active Directory erscheint mit der Nachricht, dass zur Domäne MYCO.COM kei-ne Verbindung hergestellt werden kann. Da die Domäne MYCO.COM eine interoperable Nicht-Win-dows-Domäne ist und Sie diese Seite der Vertrauensbeziehung konfigurieren möchten, klicken Sieauf OK, um das Dialogfenster zu schließen.

7. Klicken Sie auf der Registerkarte Vertrauensbeziehung in der Tabelle Domänen, die dieser Domänevertrauen auf Hinzufügen.

8. Geben Sie auf der Seite 'Vertraute Domänen hinzufügen' im Feld Vertraute Domäne die ZeichenfolgeSHIPDEPT.MYCO.COM ein. Geben Sie shipord2 als Kennwort ein.

9. Das Dialogfenster Active Directory erscheint mit der Nachricht, dass zur Domäne MYCO.COM kei-ne Verbindung hergestellt werden kann. Da die Domäne MYCO.COM eine interoperable Nicht-Win-dows-Domäne ist und Sie diese Seite der Vertrauensbeziehung konfigurieren möchten, klicken Sieauf OK, um das Dialogfenster zu schließen.

10. Klicken Sie auf OK.

Realm SHIPDEPT.MYCO.COM zu System A hinzufügenSie müssen den Realm SHIPDEPT.MYCO.COM auf System A definieren, damit System A feststellen kann,wo sich der IBM i PASE-Kerberos-Server im Realm SHIPDEPT.MYCO.COM befindet.

Führen Sie die folgenden Schritte durch, um den Realm SHIPDEPT.MYCO.COM zu definieren:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit > Alle Tasks >

Netzwerkauthentifizierungsservice.2. Klicken Sie auf Realm und wählen Sie Realm hinzufügen im Pulldown-Menü Aktionen aus.

34 IBM i: Netzwerkauthentifizierungsservice

Page 41: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

3. Geben Sie im Dialogfenster Realm hinzufügen die folgenden Informationen an, und klicken Sie aufOK.a. Hinzuzufügender Realm: SHIPDEPT.MYCO.COMb. KDC: systemb.shipdept.myco.comc. Port: 88

4. Vergewissern Sie sich, dass der Realm SHIPDEPT.MYCO.COM in der Liste erscheint.

Sie haben jetzt die Schritte zur Konfiguration einer Cross-Realm-Vertrauensbeziehung zwischen den Re-alms ORDEPT.MYCO.COM und SHIPDEPT.MYCO.COM durchgeführt.

Szenario: Konfiguration des Netzwerkauthentifizierungsservice anmehrere Systeme weitergebenIm Folgenden erfahren Sie, welche Voraussetzungen zur Weitergabe der Konfiguration des Netzwerkau-thentifizierungsservice an mehrere Systeme erfüllt werden müssen und zu welchem Zweck diese Weiter-gabe dient.

Situation

Sie sind der Systemadministrator für ein Großunternehmen, das Kfz-Teile herstellt. Sie verwalten gegen-wärtig vier IBM i-Plattformen mit dem System i Navigator. Ein System fungiert als zentrales System, dasDaten speichert und die anderen Systeme verwaltet. Der Sicherheitsadministrator für Ihr Unternehmenhat soeben einen Netzwerkauthentifizierungsservice auf einem neuen System zur Teilnahme an einerWindows-Domäne konfiguriert. Der Service authentifiziert Benutzer für das Unternehmen. Der Sicher-heitsadministrator hat die Konfiguration des Netzwerkauthentifizierungsservice auf diesem System getes-tet und ein Service-Ticket für diese IBM i-Plattform abgerufen. Sie möchten die Konfiguration des Netz-werkauthentifizierungsservice zwischen den von Ihnen verwalteten Systemen vereinfachen.

Mit dem Assistenten für die Funktionssynchronisation möchten Sie die Konfiguration des Netzwerkau-thentifizierungsservice vom Modellsystem auf Ihre anderen Systeme anwenden. Der Assistent für dieFunktionssynchronisation beschleunigt und vereinfacht die Konfiguration des Netzwerkauthentifizie-rungsservice im gesamten Netzwerk, da Sie nicht jedes System separat konfigurieren müssen.

Ziele

In diesem Szenario verfolgt MyCo, Inc. zwei verschiedene Ziele:1. Die Konfiguration des Netzwerkauthentifizierungsservice im Netzwerk soll vereinfacht werden.2. Alle IBM i-Plattformen sollen auf denselben Kerberos-Server verweisen.

Details

Die folgende Grafik veranschaulicht die Details zu diesem Szenario. Das in der Grafik dargestellte SystemD wird nicht verwendet.

Netzwerkauthentifizierungsservice 35

Page 42: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

SystemMC1 : Zentrales System

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Speichert und plant für jedes der Endpunktsysteme Tasks hinsichtlich der Synchronisationseinstellun-gen und führt diese aus.

System A: Modellsystem

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Ist das Modellsystem für die Weitergabe der Konfiguration des Netzwerkauthentifizierungsservice anEndpunktsysteme.

System B: Endpunktsystem

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:

36 IBM i: Netzwerkauthentifizierungsservice

Page 43: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Ist eines der Endpunktsysteme für die Weitergabe der Konfiguration des Netzwerkauthentifizierungs-service.

System C: Endpunktsystem

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Ist eines der Endpunktsysteme für die Weitergabe der Konfiguration des Netzwerkauthentifizierungs-service.

Client-PC

v Arbeitet mit IBM i Access für Windows (5770-XE1)v Arbeitet mit System i Navigator mit den folgenden Unterkomponenten:

Anmerkung: Diese Unterkomponenten werden nur für einen PC benötigt, der zur Verwaltung desNetzwerkauthentifizierungsservice verwendet wird.– Netzwerk– Sicherheit

Windows-Server (nicht in der Grafik dargestellt)

v Fungiert als Kerberos-Server für das Netzwerk (kdc1.myco.com).v Alle Benutzer wurden dem Microsoft Active Directory hinzugefügt.

Anmerkung: Der Name des im vorliegenden Szenario verwendeten KDC-Servers (kdc1.myco.com) istfrei erfunden.

Voraussetzungen und Annahmen

SystemMC1: Voraussetzungen des zentralen Systems

1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob diese Lizenzprogramme installiert wurden:a. Erweitern Sie in System i Navigator den Eintrag für Ihr System > Konfiguration und Service >

Software > Installierte Produkte.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

2. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP und die Basissystemsicherheit wurden auf System A konfiguriert und getestet.4. Die Standardeinstellungen im System i Navigator wurden nicht dahingehend geändert, dass das Öff-

nen des Fensters 'Task-Status' beim Starten einer Task inaktiviert ist. Gehen Sie wie folgt vor, um si-cherzustellen, dass die Standardeinstellungen nicht geändert wurden:a. Klicken Sie im System i Navigator mit der rechten Maustaste auf Ihr zentrales System und wählen

Sie dann Benutzervorgaben aus.b. Vergewissern Sie sich auf der Seite 'Allgemein', dass Fenster 'Task-Status' automatisch öffnen,

wenn eine meiner Tasks gestartet wird ausgewählt ist.

Netzwerkauthentifizierungsservice 37

Page 44: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

5. SSL (Secure Sockets Layer) wurde konfiguriert, um die Datenübertragung zwischen diesen Systemenzu schützen.

Anmerkung: Wenn Sie die Konfiguration des Netzwerkauthentifizierungsservice an andere Systemeweitergeben, werden sensible Daten wie Kennwörter über das Netzwerk gesendet. Sie sollten SSL ver-wenden, um diese Informationen zu schützen, insbesondere, wenn diese beim Senden das lokaleNetzwerk (Local Area Network, LAN) verlassen. Ausführliche Informationen finden Sie unter Scena-rio: Securing all connections to your Management Central server with SSL.

System A: Voraussetzungen des Modellsystems

1. Bei diesem Szenario wird vorausgesetzt, dass der Netzwerkauthentifizierungsservice auf dem Modell-system (System A) richtig konfiguriert ist.

2. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob diese Lizenzprogramme installiert wurden:a. Erweitern Sie in System i Navigator den Eintrag für Ihr System > Konfiguration und Service >

Software > Installierte Produkte.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

3. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.4. TCP/IP und die Basissystemsicherheit wurden auf Ihrem System konfiguriert und getestet.5. SSL (Secure Sockets Layer) wurde konfiguriert, um die Datenübertragung zwischen diesen Systemen

zu schützen.

Anmerkung: Wenn Sie die Konfiguration des Netzwerkauthentifizierungsservice an andere Systemeweitergeben, werden sensible Daten wie Kennwörter über das Netzwerk gesendet. Sie sollten SSL ver-wenden, um diese Informationen zu schützen, insbesondere, wenn diese beim Senden das lokaleNetzwerk (Local Area Network, LAN) verlassen. Ausführliche Informationen finden Sie unter Scena-rio: Securing all connections to your Management Central server with SSL.

System B und System C: Voraussetzungen des Endpunktsystems

1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob diese Lizenzprogramme installiert wurden:a. Erweitern Sie in System i Navigator den Eintrag für Ihr System > Konfiguration und Service >

Software > Installierte Produkte.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

2. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP und die Basissystemsicherheit wurden auf Ihrem System konfiguriert und getestet.4. SSL (Secure Sockets Layer) wurde konfiguriert, um die Datenübertragung zwischen diesen Systemen

zu schützen.

Anmerkung: Wenn Sie die Konfiguration des Netzwerkauthentifizierungsservice an andere Systemeweitergeben, werden sensible Daten wie Kennwörter über das Netzwerk gesendet. Sie sollten SSL ver-wenden, um diese Informationen zu schützen, insbesondere, wenn diese beim Senden das lokaleNetzwerk (Local Area Network, LAN) verlassen. Ausführliche Informationen finden Sie unter Scena-rio: Securing all connections to your Management Central server with SSL.

Windows-Server (nicht in der Grafik dargestellt)

1. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.2. TCP/IP wurde auf dem Server konfiguriert und getestet.3. Die Windows-Domäne wurde konfiguriert und getestet.

38 IBM i: Netzwerkauthentifizierungsservice

Page 45: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

4. Alle Benutzer im Netzwerk wurden über Active Directory zu einer Windows-Domäne hinzugefügt.

Konfigurationsschritte

Sie müssen die folgenden Schritte durchführen, um mit dem Assistenten für die Funktionssynchronisationdie Konfiguration des Netzwerkauthentifizierungsservice an Endpunktsysteme weiterzugeben.

Planungsarbeitsblätter ausfüllenBevor Sie den System i Navigator verwenden können, um die Konfiguration ausgehend von einem Mo-dellsystem an verschiedene Zielsysteme weiterzugeben, müssen Sie die folgenden Planungsarbeitsblätterausfüllen.

Alle Fragen müssen mit Ja beantwortet werden, bevor Sie mit der Weitergabe des Netzwerkauthentifizie-rungsservice fortfahren.

Tabelle 8. Netzwerkauthentifizierungsservice weitergeben - Arbeitsblatt für Voraussetzungen

Arbeitsblatt für Voraussetzungen Antworten

Arbeiten Sie auf den folgenden Systemen mit IBM i 5.4 oder einerhöheren Version (5770-SS1):

v Zentrales System

v System A

v System B

v System C

Ja

Wurden die neuesten PTFs (vorläufigen Programmkorrekturen) an-gelegt?

Ja

Sind die folgenden Optionen und Lizenzprogramme auf allen IBMi-Modellen installiert?

v IBM i Host Servers (5770-SS1 Option 12)

v IBM i Access für Windows (5770-XE1)

v Network Authentication Enablement(5770-NAE)

Ja

Ist IBM i Access für Windows (5770-XE1) auf dem PC des Administ-rators installiert?

Ja

Ist System i Navigator auf dem PC des Administrators installiert?

v Ist die Unterkomponente "Netzwerk" des System i Navigator aufdem PC des Administrators installiert?

v Ist die Unterkomponente "Sicherheit" des System i Navigator aufdem PC des Administrators installiert?

Ja

Ist das aktuellste Service-Pack für IBM i Access für Windows instal-liert? Sie können das aktuellste Service-Pack über die Website für

IBM i Access abrufen.

Ja

Verfügen Sie über die Sonderberechtigungen *SECADM, *ALLOBJund *IOSYSCFG?

Ja

Fungiert eines der folgenden Systeme als Kerberos-Server? Wenn ja,geben Sie an, um welches System es sich handelt.

1. MicrosoftWindows-Server

2. PASE für i (5.4 oder höher)

3. AIX-Server

4. z/OS

Ja, Windows-Server

Windows-Server: Sind die Windows-Unterstützungstools (die dasTool ktpass enthalten) installiert?

Ja

Netzwerkauthentifizierungsservice 39

Page 46: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 8. Netzwerkauthentifizierungsservice weitergeben - Arbeitsblatt für Voraussetzungen (Forts.)

Arbeitsblatt für Voraussetzungen Antworten

Beträgt die Abweichung zwischen der Systemzeit des IBM i-Systemsund der Systemzeit des Kerberos-Servers maximal fünf Minuten? Istdie Abweichung größer, lesen Sie Systemzeiten synchronisieren.

Ja

Tabelle 9. Planungsarbeitsblatt für Funktionssynchronisation

Fragen Antworten

Wie lautet der Name der Systemverwaltungsgruppe? Systemverwaltungsgruppe MyCo

Welche Systeme werden in diese Systemverwaltungsgruppeaufgenommen?

System B und System C

Welche Funktionen sollen an diese Systemverwaltungsgruppeweitergegeben werden?

Netzwerkauthentifizierungsservice

Für welche Services möchten Sie Chiffrierschlüsseleinträgeerstellen?

v IBM i-Kerberos-Authentifizierung

v LDAP

v IBM HTTP-Server

v IBM i NetServer

v NFS-Server

IBM i-Kerberos-Authentifizierung

Wie lauten die Service-Principal-Namen für die Systeme, andie Sie die Konfiguration weitergeben möchten?

krbsvr400/[email protected]/[email protected]/[email protected]

Wie lauten die Kennwörter, die jedem dieser Principals zuge-ordnet sind?

Das Kennwort für die Principals für die Systeme A,B und C lautet systema123.

Wie lautet der vollständig qualifizierte Hostname der ver-schiedenen IBM i-Plattformen?

systema.myco.comsystemb.myco.comsystemc.myco.com

Wie lautet der Name der Windows-Domäne?Anmerkung: Eine Windows-Domäne ist mit einem Kerberos-Realm vergleichbar.

MYCO.COM

Systemverwaltungsgruppe erstellenBevor Sie die Konfiguration des Netzwerkauthentifizierungsservice an ein Zielsystem weitergeben kön-nen, müssen Sie eine Systemverwaltungsgruppe für alle Endpunktsysteme erstellen.

Eine Systemverwaltungsgruppe ist eine Sammlung von Systemen, die Sie verwalten und auf die Sie ähn-liche Einstellungen und Attribute, wie z. B. die Konfiguration des Netzwerkauthentifizierungsservice, an-wenden können. Führen Sie die folgenden Schritte durch, um eine Systemverwaltungsgruppe zu erstel-len:1. Erweitern Sie in System i Navigator den Eintrag für Management Central (SystemMC1).2. Klicken Sie mit der rechten Maustaste auf Systemverwaltungsgruppen und wählen Sie Neue System-

verwaltungsgruppe aus, um eine neue Systemverwaltungsgruppe zu erstellen.3. Geben Sie auf der Seite 'Allgemein' im Namensfeld Systemverwaltungsgruppe MyCo ein, und geben Sie

eine Beschreibung für diese Systemverwaltungsgruppe ein.4. Wählen Sie aus der Liste Verfügbares System System B und System C aus und klicken Sie anschlie-

ßend auf Hinzufügen. Auf diese Weise werden diese Systeme der Liste Ausgewählte Systeme hinzu-gefügt. Klicken Sie auf OK.

5. Erweitern Sie den Eintrag für Systemverwaltungsgruppen, um zu überprüfen, ob Ihre Systemverwal-tungsgruppe hinzugefügt wurde.

40 IBM i: Netzwerkauthentifizierungsservice

Page 47: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Systemeinstellungen vom Modellsystem (System A) an System B und System CweitergebenZur Weitergabe von Systemeinstellungen an mehrere Endpunktsysteme können Sie den Assistenten fürdie Funktionssynchronisation im System i Navigator verwenden. Mit diesem Assistenten können SieSystemeinstellungen wie beispielsweise die Konfiguration des Netzwerkauthentifizierungsservice weiter-geben.

Führen Sie die folgenden Schritte durch, um die Konfiguration des Netzwerkauthentifizierungsservice andie Zielsysteme weiterzugeben:1. Erweitern Sie in System i Navigator den Eintrag für Management Central (SystemMC1) > System-

verwaltungsgruppen.2. Klicken Sie mit der rechten Maustaste auf Systemverwaltungsgruppe MyCo und wählen Sie Sys-

temwerte > Funktionen synchronisieren aus. Auf diese Weise wird der Assistent für die Funktions-synchronisation gestartet.

3. Überprüfen Sie auf der Begrüßungsseite die Informationen zum Assistenten für die Funktionssyn-chronisation, und klicken Sie dann auf Weiter. Auf der Begrüßungsseite sind die Funktionen aufge-listet, die Sie später im Assistenten synchronisieren können.

Anmerkung: Wenn Sie die Konfiguration des Netzwerkauthentifizierungsservice an andere Systemeweitergeben, werden sensible Daten wie Kennwörter über das Netzwerk gesendet. Sie sollten SSLverwenden, um diese Informationen zu schützen, insbesondere, wenn diese beim Senden das lokaleNetzwerk (Local Area Network, LAN) verlassen. Ausführliche Informationen finden Sie unter Scena-rio: Securing all connections to your Management Central server with SSL.

4. Wählen Sie auf der Seite 'Modellsystem' System A als Modellsystem aus, und klicken Sie dann aufWeiter. Dieses Modellsystem wird als Basis für die Synchronisation der Konfiguration des Netz-werkauthentifizierungsservice mit anderen Systemen verwendet.

5. Wählen Sie auf der Seite 'Zielsysteme und -gruppen' Systemverwaltungsgruppe MyCo aus. KlickenSie auf Weiter.

6. Wählen Sie auf der Seite 'Zu aktualisierende Komponenten' Netzwerkauthentifizierungsservice(Kerberos) aus. Klicken Sie auf Konfiguration prüfen. Klicken Sie nach der Überprüfung der Konfi-guration auf Weiter.

Anmerkung: Wenn die Überprüfung des Netzwerkauthentifizierungsservice nicht durchgeführt wer-den kann, liegt möglicherweise ein Fehler in der Konfiguration des Netzwerkauthentifizierungsser-vice auf dem Modellsystem vor. Zum Beheben dieses Fehlers müssen Sie die Konfiguration auf demModellsystem prüfen, die Konfiguration korrigieren und dann zu Schritt 2 in diesen Anweisungenzurückkehren.

7. Wählen Sie auf der Seite 'Netzwerkauthentifizierungsservice' IBM i-Kerberos-Authentifizierung ausund geben Sie in den Feldern Kennwort und Kennwort bestätigen die Zeichenfolge systema123 ein.Klicken Sie auf Weiter.

Anmerkung: Dieses Kennwort wird für den Chiffrierschlüsseleintrag auf jedem Zielsystem verwen-det. Wenn die Sicherheitsrichtlinie auf jedem System ein anderes Kennwort erfordert, können Sie die-sen Schritt überspringen. Sie können nach der Beendigung dieses Assistenten die Chiffrierschlüsse-leinträge stattdessen manuell zu einzelnen Systemen hinzufügen und für jedes System ein anderesKennwort eingeben.

8. Überprüfen Sie auf der Seite 'Zusammenfassung', ob die entsprechenden Einstellungen auf dieserSeite aufgelistet sind. Klicken Sie auf Fertig stellen.

9. Standardmäßig wird ein Dialogfenster angezeigt, das angibt, dass die Task "Funktionen synchronisie-ren" gestartet wurde. Wenn Sie die Standardeinstellung geändert haben, wird dieses Dialogfensternicht angezeigt. Klicken Sie auf OK.

10. Das Dialogfenster für den Status der Funktionssynchronisation wird angezeigt. Vergewissern Siesich, dass die Task ausgeführt wurde.

Netzwerkauthentifizierungsservice 41

Page 48: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Principals für Endpunktsysteme zur Windows-Domäne hinzufügenIm Folgenden sind die Arbeitsschritte aufgeführt, die zum Hinzufügen von Principals für Endpunktsyste-me ausgeführt werden müssen.1. Schritte für System B

a. Erweitern Sie auf dem Windows-Server den Eintrag für Verwaltungstools > Active Directory-Be-nutzer und -Computer.

b. Wählen Sie als Domäne MYCO.COM aus und erweitern Sie den Eintrag für Aktion > Neu > Be-nutzer.

Anmerkung: Diese Windows-Domäne muss mit dem Namen des Standard-Realms übereinstim-men, den Sie bei der Konfiguration des Netzwerkauthentifizierungsservice angegeben haben.

c. Geben Sie im Feld Name die Zeichenfolge systemb ein, um die IBM i-Plattform für diese Win-dows-Domäne zu identifizieren. Damit wird ein neues Benutzerkonto für System B hinzugefügt.

d. Rufen Sie die Eigenschaften für den Active Directory-Benutzer systemb auf. Wählen Sie auf derRegisterkarte Delegierung die Option Benutzer bei Delegierungen aller Dienste vertrauen (nurKerberos) aus. Damit wird dem IBM i-Service-Principal der Zugriff auf andere Services im Nameneines angemeldeten Benutzers gestattet.

e. Auf dem Windows-Server müssen Sie das soeben erstellte Benutzerkonto mit dem Befehl ktpassdem IBM i-Service-Principal zuordnen. Geben Sie an einer Windows-Eingabeaufforderung den fol-genden Befehl ein:ktpass -mapuser systemb -pass systema123 -princ krbsvr400/[email protected] set

2. Schritte für System C

a. Erweitern Sie auf dem Windows-Server den Eintrag für Verwaltungstools > Active Directory-Be-nutzer und -Computer.

b. Wählen Sie als Domäne MYCO.COM aus und erweitern Sie den Eintrag für Aktion > Neu > Be-nutzer.

Anmerkung: Diese Windows-Domäne muss mit dem Namen des Standard-Realms übereinstim-men, den Sie bei der Konfiguration des Netzwerkauthentifizierungsservice angegeben haben.

c. Geben Sie im Feld Name die Zeichenfolge systemc ein, um die IBM i-Plattform für diese Win-dows-Domäne zu identifizieren. Damit wird ein neues Benutzerkonto für System C hinzugefügt.

d. Rufen Sie die Eigenschaften für den Active Directory-Benutzer systemc auf. Wählen Sie auf derRegisterkarte Delegierung die Option Benutzer bei Delegierungen aller Dienste vertrauen (nurKerberos) aus. Damit wird dem IBM i-Service-Principal der Zugriff auf andere Services im Nameneines angemeldeten Benutzers gestattet.

e. Auf dem Windows-Server müssen Sie das soeben erstellte Benutzerkonto mit dem Befehl ktpassdem IBM i-Service-Principal zuordnen. Geben Sie an einer Windows-Eingabeaufforderung den fol-genden Befehl ein:ktpass -mapuser systemc -pass systema123 -princ krbsvr400/[email protected] set

Sie haben die Weitergabe der Konfiguration des Netzwerkauthentifizierungsservice an mehrere Systemeabgeschlossen. Wenn Sie den Management Central-Server so konfigurieren möchten, dass er den Netz-werkauthentifizierungsservice nutzt, müssen Sie einige zusätzliche Tasks ausführen. Einzelheiten hierzufinden Sie unter „Szenario: Kerberos-Authentifizierung zwischen Management Central-Servernverwenden” auf Seite 43.

42 IBM i: Netzwerkauthentifizierungsservice

Page 49: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Szenario: Kerberos-Authentifizierung zwischen Management Central-Servern verwendenIm Folgenden erfahren Sie, welche Voraussetzungen zur Verwendung der Kerberos-Authentifizierungzwischen Management Central-Servern erfüllt werden müssen und zu welchem Zweck diese dient.

Situation

Sie sind als Netzwerkadministrator für ein mittelständisches Unternehmen der Teileproduktion tätig. Sieverwalten gegenwärtig vier IBM i-Produkte mit dem System i Navigator auf einem Client-PC. Sie möch-ten, dass die Management Central-Serverjobs die Kerberos-Authentifizierung an Stelle anderer Authentifi-zierungsmethoden, die Sie in der Vergangenheit verwendet haben, nämlich der Kennwortsynchronisation,verwenden.

Ziele

In diesem Szenario besteht das Ziel für MyCo, Inc. darin, die Kerberos-Authentifizierung zwischen Ma-nagement Central-Servern zu verwenden.

Details

Die folgende Grafik veranschaulicht die Details zu diesem Szenario.

System A: Modellsystem und zentrales System

Netzwerkauthentifizierungsservice 43

Page 50: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Der IBM i-Service-Principal krbsvr400/[email protected] und das zugeordnete Kenn-wort wurden zur Chiffrierschlüsseldatei hinzugefügt.

v Speichert und plant für jedes der Endpunktsysteme Tasks hinsichtlich der Synchronisationseinstellun-gen und führt diese aus.

System B: Endpunktsystem

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Der IBM i-Service-Principal krbsvr400/[email protected] und das zugeordnete Kenn-wort wurden zur Chiffrierschlüsseldatei hinzugefügt.

System C: Endpunktsystem

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Der IBM i-Service-Principal krbsvr400/[email protected] und das zugeordnete Kenn-wort wurden zur Chiffrierschlüsseldatei hinzugefügt.

System D: Endpunktsystem

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– IBM i Access für Windows (5770-XE1)– Network Authentication Enablement (5770-NAE)

v Der IBM i-Service-Principal krbsvr400/[email protected] und das zugeordnete Kenn-wort wurden zur Chiffrierschlüsseldatei hinzugefügt.

Windows-Server

v Fungiert als Kerberos-Server für diese Systeme.v Die folgenden IBM i-Service-Principals wurden dem Windows-Server hinzugefügt:

– krbsvr400/[email protected]– krbsvr400/[email protected]– krbsvr400/[email protected]– krbsvr400/[email protected]

Client-PC

v Arbeitet mit IBM i Access für Windows (5770-XE1)v Arbeitet mit System i Navigator mit den folgenden Unterkomponenten:

44 IBM i: Netzwerkauthentifizierungsservice

Page 51: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Anmerkung: Nur für den PC zur Verwaltung des Netzwerkauthentifizierungsservice erforderlich.– Netzwerk– Sicherheit

Voraussetzungen und Annahmen1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-

den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob die Lizenzprogramme installiert wurden:a. Erweitern Sie in System i Navigator den Eintrag für Ihr System > Konfiguration und Service >

Software > Installierte Produkte.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

2. Die gesamte erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP und die Basissystemsicherheit wurden auf jedem dieser Systeme konfiguriert und getestet.4. Die Standardeinstellungen im System i Navigator wurden nicht dahingehend geändert, dass das Öff-

nen des Fensters 'Task-Status' beim Starten einer Task verhindert wird. Gehen Sie wie folgt vor, um si-cherzustellen, dass die Standardeinstellungen nicht geändert wurden:a. Klicken Sie im System i Navigator mit der rechten Maustaste auf Ihr zentrales System und wählen

Sie dann Benutzervorgaben aus.b. Vergewissern Sie sich auf der Seite 'Allgemein', dass Fenster 'Task-Status' automatisch öffnen,

wenn eine meiner Tasks gestartet wird ausgewählt ist.5. Dieses Szenario basiert auf der Annahme, dass der Netzwerkauthentifizierungsservice auf allen Syste-

men mit dem Assistenten für die Funktionssynchronisation im System i Navigator konfiguriert wurde.Dieser Assistent gibt die Konfiguration des Netzwerkauthentifizierungsservice von einem Modellsys-tem an mehrere Zielsysteme weiter. Der Abschnitt „Szenario: Konfiguration des Netzwerkauthentifi-zierungsservice an mehrere Systeme weitergeben” auf Seite 35 enthält detaillierte Information zur Ver-wendung des Assistenten für die Funktionssynchronisation.

Konfigurationsschritte

Um die Kerberos-Authentifizierung zwischen Management Central-Servern zu konfigurieren, müssen Siedie folgenden Schritte durchführen.

Planungsarbeitsblätter ausfüllenIn den folgenden Planungsarbeitsblättern ist die Art der Informationen aufgeführt, die Sie benötigen, umIhre Systeme für die Verwendung der Kerberos-Authentifizierung zu aktivieren.

Tabelle 10. Kerberos-Authentifizierung zwischen Management Central-Servern verwenden - Arbeitsblatt für Voraus-setzungen

Arbeitsblatt für Voraussetzungen Antworten

Verwenden Sie auf allen IBM i-Plattformen IBM i 5.4 oder eine höhe-re Version (5770-SS1)?

Ja

Wurden die neuesten PTFs (vorläufigen Programmkorrekturen) an-gelegt?

Ja

Sind die folgenden Optionen und Lizenzprogramme auf allen IBMi-Modellen installiert?

v IBM i Host Servers (5770-SS1 Option 12)

v IBM i Access für Windows (5770-XE1)

v Network Authentication Enablement (5770-NAE)

Ja

Ist IBM i Access für Windows (5770-XE1) auf dem PC des Administ-rators installiert?

Ja

Netzwerkauthentifizierungsservice 45

Page 52: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 10. Kerberos-Authentifizierung zwischen Management Central-Servern verwenden - Arbeitsblatt für Voraus-setzungen (Forts.)

Arbeitsblatt für Voraussetzungen Antworten

Ist System i Navigator auf dem PC des Administrators installiert?

v Ist die Unterkomponente "Netzwerk" des System i Navigator aufdem PC des Administrators installiert?

v Ist die Unterkomponente "Sicherheit" des System i Navigator aufdem PC des Administrators installiert?

Ja

Ist das aktuellste Service-Pack für IBM i Access für Windows instal-liert? Sie können das aktuellste Service-Pack über die Website für

IBM i Access abrufen.

Ja

Verfügen Sie über die Sonderberechtigungen *SECADM, *ALLOBJund *IOSYSCFG?

Ja

Fungiert eines der folgenden Systeme als Kerberos-Server? Wenn ja,geben Sie an, um welches System es sich handelt.

1. Microsoft Windows-Server

2. PASE für i (5.4 oder höher)

3. AIX-Server

4. z/OS

Ja, Windows-Server

Windows-Server: Sind die Windows-Unterstützungstools (die dasTool ktpass enthalten) installiert?

Ja

Beträgt die Abweichung zwischen der Systemzeit des IBM i-Systemsund der Systemzeit des Kerberos-Servers maximal fünf Minuten? Istdie Abweichung größer, lesen Sie die Informationen unter„Systemzeiten synchronisieren” auf Seite 103.

Ja

Tabelle 11. Kerberos-Authentifizierung zwischen Management Central-Servern verwenden - Planungsarbeitsblatt

Fragen Antworten

Wie lautet der Name der Systemverwaltungsgruppe? Systemverwaltungsgruppe MyCo2

Welche Systeme werden in diese Systemverwaltungsgruppeaufgenommen?

System A, System B, System C, System D

Wie lauten die Service-Principal-Namen der IBM i-Plattfor-men?

krbsvr400/[email protected]/[email protected]/[email protected]/[email protected]

Zentrales System zur Verwendung der Kerberos-Authentifizierung konfigurierenSystem A ist das Modellsystem und das zentrale System für die anderen Zielsysteme.

Führen Sie die folgenden Schritte durch, um die Kerberos-Authentifizierung auf dem zentralen System zukonfigurieren:1. Erweitern Sie in System i Navigator den Eintrag für Management Central (System A) und wählen Sie

dann Eigenschaften aus.2. Wählen Sie auf der Registerkarte Sicherheit die Auswahl Kerberos-Authentifizierung verwenden

aus, und setzen Sie die Authentifizierungsstufe auf Zur anerkannten Gruppe hinzufügen.3. Wählen Sie im Feld Identitätsabgleich die Auswahl Nicht verwenden aus, und klicken Sie auf OK.

Diese Einstellung ermöglicht es Ihnen, die Verwendung von Enterprise Identity Mapping (EIM) durchManagement Central-Server zu aktivieren bzw. zu inaktivieren, um für Ihre Endpunktsysteme eineEinzelanmeldungsumgebung zu aktivieren. Wenn Sie für Ihre Endpunktsysteme die Einzelanmeldung

46 IBM i: Netzwerkauthentifizierungsservice

Page 53: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

aktivieren möchten, lesen Sie Szenario: Management Central-Server für Einzelanmeldungsumgebungkonfigurieren. Das Szenario veranschaulicht diese Konfiguration.

Anmerkung: Die Anmerkung am Ende der Seite 'Sicherheit' weist darauf hin, dass die Einstellungenbeim nächsten Start der Management Central-Server wirksam werden. Führen Sie jetzt keinen Neu-start der Server durch. Im Szenario wird erläutert, wann der Zeitpunkt gekommen ist, die Server ineinem nachfolgenden Schritt erneut zu starten.

4. Es erscheint ein Dialogfenster, in dem angezeigt wird, dass die Änderungen an diesen Einstellungennur dieses zentrale System betreffen und dass Kerberos richtig konfiguriert sein muss, bevor dieseEinstellungen von den Management Central-Serverjobs verwendet werden können. Klicken Sie aufOK. Sie haben die Kerberos-Authentifizierung für das zentrale System aktiviert.

Systemverwaltungsgruppe MyCo2 erstellenEine Systemverwaltungsgruppe ist eine Sammlung von Systemen, die Sie verwalten und auf die Sie ähn-liche Einstellungen und Attribute, wie z. B. die Konfiguration des Netzwerkauthentifizierungsservice, an-wenden können.

Bevor Sie die richtigen Einstellungen auf die anderen Systeme in Ihrem Netzwerk anwenden können,müssen Sie eine Systemverwaltungsgruppe für alle Endpunktsysteme erstellen.1. Erweitern Sie in System i Navigator den Eintrag für Management Central (System A).2. Klicken Sie mit der rechten Maustaste auf Systemverwaltungsgruppen und wählen Sie Neue System-

verwaltungsgruppe aus, um eine neue Systemverwaltungsgruppe zu erstellen.3. Geben Sie auf der Seite 'Allgemein' im Namensfeld Systemverwaltungsgruppe MyCo2 ein. Geben Sie

eine Beschreibung für diese Systemverwaltungsgruppe an.4. Wählen Sie aus der Liste Verfügbares System System A, System B, System C und System D aus, und

klicken Sie dann auf Hinzufügen. Auf diese Weise werden diese Systeme der Liste Ausgewählte Sys-teme hinzugefügt. Klicken Sie auf OK.

5. Erweitern Sie den Eintrag für Systemverwaltungsgruppen, um zu überprüfen, ob Ihre Systemverwal-tungsgruppe hinzugefügt wurde.

Systemwerte-Inventar erfassenSie müssen die Funktion "Inventar erfassen" im System i Navigator verwenden, um für die Zielsystemein der Systemverwaltungsgruppe MyCo2 die Einstellungen für die Kerberos-Authentifizierung hinzuzufü-gen.

Gehen Sie wie folgt vor, um das Inventar für die Systemverwaltungsgruppe MyCo2 zu erfassen:1. Erweitern Sie in System i Navigator den Eintrag für Management Central (System A) > Systemver-

waltungsgruppen.2. Klicken Sie mit der rechten Maustaste auf Systemverwaltungsgruppe MyCo2 und wählen Sie Inven-

tar > Erfassen aus.3. Wählen Sie auf der Seite 'Inventar erfassen - Systemverwaltungsgruppe MyCo2' Systemwerte aus. Kli-

cken Sie auf OK. Standardmäßig wird ein Dialogfenster angezeigt, das angibt, dass die Task "Funktio-nen synchronisieren - Inventar erfassen" gestartet wurde. Wenn Sie die Standardeinstellung geänderthaben, wird dieses Dialogfenster nicht angezeigt. Klicken Sie auf OK.

4. Lesen Sie auf der Seite 'Inventarstatus erfassen' alle angezeigten Statuswerte, und beheben Sie allemöglicherweise auftretenden Fehler. Details zu bestimmten Statuswerten, die sich auf die Inventarer-fassung beziehen und auf dieser Seite erscheinen, erhalten Sie, wenn Sie Hilfe > Hilfe für Task-Statusauswählen. Wählen Sie auf der Hilfeseite Task-Status die Auswahl Inventar aus. Auf dieser Seite wer-den alle möglichen Statuswerte mit detaillierten Beschreibungen sowie Informationen zur Fehlerbehe-bung angezeigt.

5. Schließen Sie das Statusfenster, wenn die Inventarerfassung durchgeführt werden konnte.

Netzwerkauthentifizierungsservice 47

Page 54: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Kerberos-Einstellungen im System i Navigator vergleichen und aktualisierenNachdem Sie das Inventar der Systemwerte erfasst haben, müssen Sie die auf dem zentralen System aus-gewählten Kerberos-Einstellungen auf jedes Zielsystem in der Systemverwaltungsgruppe MyCo2 anwen-den.

Gehen Sie wie folgt vor, um die Zielsysteme in der Systemverwaltungsgruppe MyCo2 zu aktualisieren:1. Erweitern Sie in System i Navigator den Eintrag für Management Central (System A) > Systemver-

waltungsgruppen.2. Klicken Sie mit der rechten Maustaste auf Systemverwaltungsgruppe MyCo2 und wählen Sie Sys-

temwerte > Vergleichen und aktualisieren aus.3. Füllen Sie die Felder im Dialogfenster Vergleichen und aktualisieren - Systemverwaltungsgruppe

MyCo2 aus:a. Wählen Sie System A für das Feld Modellsystem aus.b. Wählen Sie Management Central für das Feld Kategorie aus.c. Wählen Sie aus der Liste Zu vergleichende Einträge die Einträge Kerberos-Authentifizierung

zum Überprüfen von Anforderungen verwenden und Zuverlässigkeitsstufe der Kerberos-Au-thentifizierung aus.

4. Vergewissern Sie sich, dass die Zielsysteme in der Systemverwaltungsgruppe MyCo2 in der Liste derZielsysteme angezeigt werden, und klicken Sie auf OK, um die Aktualisierung zu starten. Auf dieseWeise wird jedes System in der Systemverwaltungsgruppe MyCo2 mit den Einstellungen für die Ker-beros-Authentifizierung, die auf dem Modellsystem ausgewählt wurden, aktualisiert.

5. Standardmäßig wird ein Dialogfenster angezeigt, das angibt, dass die Task "Vergleichen und aktuali-sieren" gestartet wurde. Wenn Sie die Standardeinstellung geändert haben, wird dieses Dialogfensternicht angezeigt. Klicken Sie auf OK.

6. Vergewissern Sie sich im Statusdialogfenster Werte aktualisieren, dass die Aktualisierung auf allenSystemen ausgeführt wird, und schließen Sie das Dialogfenster.

Management Central-Server auf dem zentralen System und den Zielsystemen er-neut startenNachdem Sie die Aktualisierung für jedes Zielsystem in der Systemverwaltungsgruppe beendet haben,müssen Sie alle Management Central-Server auf dem zentralen Systemen und den Zielsystemen erneutstarten.

Gehen Sie wie folgt vor, um die Management Central-Server erneut zu starten:1. Erweitern Sie in System i Navigator den Eintrag für Meine Verbindungen > System A > Netzwerk >

Server > TCP/IP.2. Klicken Sie mit der rechten Maustaste auf Management Central und wählen Sie Stoppen aus. Warten

Sie, bis der Management Central-Server gestoppt wurde. Drücken Sie F5, um die Anzeige zu aktuali-sieren und den Status im rechten Fensterbereich anzuzeigen. Wenn der Server gestoppt wurde, sollteder Status Gestoppt angezeigt werden.

3. Klicken Sie mit der rechten Maustaste auf Management Central und wählen Sie Starten aus. Auf die-se Weise werden die Management Central-Server auf dem zentralen System erneut gestartet.

4. Wiederholen Sie die Schritte 1 - 3 auf den Zielsystemen: System B, System C und System D.

Kerberos-Service-Principal für jeden Endpunkt zur Datei für anerkannte GruppenhinzufügenNach dem Neustart aller Management Central-Server müssen Sie für alle Endpunktsysteme den Kerbe-ros-Service-Principal des zentralen Systems zur Datei für anerkannte Gruppen hinzufügen.

Führen Sie vom zentralen System einen fernen Befehl, wie z. B. DSPLIBL (Bibliotheksliste anzeigen), füralle Endpunktsysteme aus. Jedes Endpunktsystem fügt automatisch den Kerberos-Service-Principal deszentralen Systems zu seiner individuellen Datei für anerkannte Gruppen hinzu, da auf jedem Endpunkt-system die Authentifizierungsstufe Zur anerkannten Gruppe hinzufügen ausgewählt ist. Sie können

48 IBM i: Netzwerkauthentifizierungsservice

Page 55: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

vom zentralen System aus jeden fernen Befehl für ein Endpunktsystem ausführen, damit der Manage-ment Central-Serverjob auf dem Endpunktsystem die notwendigen Kerberos-Service-Principals in der Da-tei für anerkannte Gruppen aufzuzeichnet. Der Befehl DSPLIBL (Bibliotheksliste anzeigen) wird nur alsBeispiel verwendet.

Anmerkung: Wenn Sie mit einem Modell- oder Quellensystem Tasks ausführen, wie z. B. Fixes senden,Benutzer senden, Zeit synchronisieren, müssen Sie diese Tasks so ausführen, dass die richtigen Kerberos-Service-Principals den entsprechenden Dateien für anerkannte Gruppen hinzugefügt werden.

Für dieses Szenario möchten Sie einen fernen Befehl für alle Endpunktsysteme ausführen, um auf jedemEndpunktsystem den Kerberos-Service-Principal der Datei für anerkannte Gruppen hinzuzufügen. FührenSie die folgenden Schritte durch, um einen fernen Befehl auszuführen:1. Erweitern Sie in System i Navigator den Eintrag für Management Central (System A) > Systemver-

waltungsgruppen.2. Klicken Sie mit der rechten Maustaste auf Systemverwaltungsgruppe MyCo2 und wählen Sie Befehl

ausführen aus.3. Geben Sie auf der Seite 'Befehl ausführen - Systemverwaltungsgruppe MyCo2' im Feld Auszuführen-

de Befehle die Zeichenfolge dsplibl ein, und klicken Sie auf OK, um die Befehls-Task sofort zu star-ten. Sie können auch auf Vorherige Befehle klicken, um einen Befehl aus einer Liste von zuvor ausge-führten Befehlen auszuwählen, oder Sie können auf Eingabeaufforderung klicken, um Hilfe bei derEingabe oder der Auswahl eines IBM i-Befehls zu erhalten.

4. Standardmäßig wird ein Dialogfenster angezeigt, das angibt, dass die Task "Befehl ausführen" gestar-tet wurde. Wenn Sie die Standardeinstellung geändert haben, wird dieses Dialogfenster nicht ange-zeigt. Klicken Sie auf OK.

5. Vergewissern Sie sich im Statusdialogfenster Befehl ausführen, dass der Befehl auf allen Systemenausgeführt wird, und schließen Sie das Dialogfenster.

Hinzufügung der Kerberos-Principals zur Datei für anerkannte Gruppen überprüfenWenn Sie den fernen Befehl ausgeführt haben, können Sie überprüfen, ob der Kerberos-Service-Principaldes zentralen Systems sich auf jedem der Endpunktsysteme in der Datei für anerkannte Gruppen befin-det.1. Erweitern Sie in System i Navigator den Eintrag für System B > Dateisysteme > Integrated File Sys-

tem > Root > QIBM > UserData > OS400 > MGTC > config.2. Klicken Sie mit der rechten Maustaste auf McTrustedGroup.conf und wählen Sie Bearbeiten aus, um

den Dateiinhalt anzuzeigen.a. Klicken Sie mit der rechten Maustaste auf Integrated File System und wählen Sie Eigenschaften

aus.b. Wählen Sie im Dialogfenster Eigenschaften für Integrated File System die Auswahl Alle Dateien

für Bearbeitungsoptionen aktivieren für: aus, und klicken Sie dann auf OK.3. Vergewissern Sie sich, dass der Kerberos-Service-Principal des zentralen Systems als Mitglied der an-

erkannten Gruppe von Management Central aufgelistet ist.4. Wiederholen Sie diese Schritte für System C und D, um zu überprüfen, ob der Kerberos-Service-Prin-

cipal des zentralen Systems zu jedem der Zielsysteme hinzugefügt wurde.

Gesicherte Verbindungen für das zentrale System zulassenNachdem der ferne Befehl für die Endpunktsysteme ausgeführt wurde, müssen Sie gesicherte Verbindun-gen zwischen Management Central-Servern zulassen.

Führen Sie die folgenden Schritte durch, um gesicherte Verbindungen zuzulassen. Auf diese Weise wirdsichergestellt, dass nur das zentrale System für die Systemverwaltungsgruppe MyCo2 (System A) Tasksfür die Zielsysteme ausführen kann.1. Erweitern Sie in System i Navigator den Eintrag für Management Central (System A) und wählen Sie

dann Eigenschaften aus.

Netzwerkauthentifizierungsservice 49

Page 56: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

2. Wählen Sie auf der Registerkarte Sicherheit die Auswahl Kerberos-Authentifizierung verwendenaus, und geben Sie als Authentifizierungsstufe Nur gesicherte Verbindungen zulassen an.

3. Wählen Sie im Feld Identitätsabgleich die Auswahl Nicht verwenden aus.4. Es erscheint ein Dialogfenster, in dem angezeigt wird, dass die Änderungen an diesen Einstellungen

nur dieses zentrale System betreffen und dass Kerberos richtig konfiguriert sein muss, bevor dieseEinstellungen von den Management Central-Serverjobs verwendet werden können. Klicken Sie aufOK.

Schritte 4 bis 6 für Zielsysteme wiederholenNachdem Sie gesicherte Verbindungen für das zentrale System zugelassen haben, müssen Sie die Schritte4 bis 6 in diesem Szenario wiederholen, um diese Änderungen auf die Zielsysteme in der Systemverwal-tungsgruppe MyCo2 anzuwenden. Auf diese Weise stellen Sie sicher, dass die Zielsysteme so konfiguriertsind, dass sie gesicherte Verbindungen zulassen.

Führen Sie folgende Schritte durch:1. Schritt 4: Inventar der Systemwerte erfassen.2. Schritt 5: Kerberos-Einstellungen im System i Navigator vergleichen und aktualisieren.3. Schritt 6: Management Central-Server auf dem zentralen System und den Zielsystemen erneut starten.

Authentifizierung auf den Endpunktsystemen testenSobald die Server erneut gestartet werden, verwenden die Systeme Kerberos zur Authentifizierung unddie anerkannte Gruppe zur Berechtigung. Damit ein System eine Anforderung akzeptiert und ausführt,prüft dieses System, ob das anfordernde System einen gültigen Kerberos-Principal besitzt. Es prüft eben-falls, ob es den Kerberos-Principal als vertrauenswürdig akzeptieren kann, indem es abgleicht, ob derPrincipal in seiner Liste anerkannter Gruppen aufgeführt ist.

Anmerkung: Sie müssen diese Schritte auf allen Zielsystemen mit den folgenden IBM i-Service-Principalswiederholen:v krbsvr400/[email protected] krbsvr400/[email protected] krbsvr400/[email protected] krbsvr400/[email protected]

Gehen Sie wie folgt vor, um sich zu vergewissern, dass die Kerberos-Authentifizierung auf den End-punktsystemen funktioniert:

Anmerkung: Vergewissern Sie sich, dass Sie ein Ausgangsverzeichnis für Ihr IBM i-Benutzerprofil erstellthaben, bevor Sie diese Tasks ausführen.1. Schließen Sie alle Sitzungen des System i Navigator.2. Geben Sie in einer Befehlszeile QSH ein, um den Qshell Interpreter zu starten.3. Geben Sie keytab list ein, um eine Liste der Principals anzuzeigen, die in der Chiffrierschlüsseldatei

registriert sind. Daraufhin sollten die folgenden oder ähnliche Ergebnisse angezeigt werden:

Principal: krbsvr400/[email protected] version: 2Key type: 56-bit DES using key derivationEntry timestamp: 200X/05/29-11:02:58

4. Geben Sie kinit -k krbsvr400/[email protected] ein, um ein Ticket-granting Ticket vomKerberos-Server anzufordern. Mit diesem Befehl wird geprüft, ob Ihr System richtig konfiguriert wur-de und das Kennwort in der Chiffrierschlüsseldatei mit dem auf dem Kerberos-Server gespeichertenKennwort übereinstimmt. Wenn die Prüfung erfolgreich verläuft, dann werden für den Befehl QSHkeine Fehler ausgegeben.

50 IBM i: Netzwerkauthentifizierungsservice

Page 57: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

5. Geben Sie klist ein, um sicherzustellen, dass der Standard-Principal krbsvr400/[email protected] lautet. Mit diesem Befehl wird der Inhalt eines Kerberos-Caches fürBerechtigungsnachweise angezeigt und geprüft, ob ein gültiges Ticket für den IBM i-Service-Principalerstellt und in den Cache für Berechtigungsnachweise auf dem System aufgenommen wurde.

Ticket cache:FILE:/QIBM/USERDATA/OS400/NETWORKAUTHENTICATION/creds/krbcred

Default principal: krbsvr400/[email protected]

Server: krbtgt/[email protected] 200X/06/09-12:08:45 to 20XX/11/05-03:08:45

$

Sie haben jetzt die Tasks ausgeführt, die erforderlich sind, um Ihre Management Central-Serverjobs so zukonfigurieren, dass sie zwischen Endpunktsystemen die Kerberos-Authentifizierung verwenden.

Szenario: Einzelanmeldung für IBM i aktivierenIm Folgenden erfahren Sie, welche Voraussetzungen zum Aktivieren der Einzelanmeldung für das Be-triebssystem IBM i erfüllt werden müssen und zu welchem Zweck diese Aktivierung durchgeführt wird.

Situation

Sie sind als Netzwerkadministrator für ein Unternehmen tätig. Ihre Aufgabe besteht darin, das Unterneh-mensnetzwerk sowie die Netzwerksicherheit für Ihr Unternehmen einschließlich der Auftragsannahmeab-teilung zu verwalten. Sie überwachen die IT-Operationen für viele Mitarbeiter, die Kundenaufträge perTelefon entgegennehmen. Sie überwachen auch zwei andere Netzwerkadministratoren, die Ihnen bei derVerwaltung des Netzwerks helfen.

Die Mitarbeiter der Auftragsannahmeabteilung verwenden Windows und IBM i und benötigen mehrereKennwörter für die verschiedenen Anwendungen, mit denen sie täglich arbeiten. Folglich verbringen Sieviel Zeit mit der Verwaltung und Behebung von Problemen im Zusammenhang mit Kennwörtern undBenutzeridentitäten. Sie setzen beispielsweise vergessene Kennwörter zurück.

Als Netzwerkadministrator des Unternehmens suchen Sie ständig nach Wegen, den Geschäftsablauf zuverbessern, angefangen bei der Auftragsannahmeabteilung. Sie wissen, dass die meisten Mitarbeiter die-selbe Art von Berechtigung benötigen, um auf die Anwendung zur Abfrage des Inventarstatus zugreifenzu können. Es erscheint Ihnen überflüssig und zeitaufwändig, einzelne Benutzerprofile und zahlreicheKennwörter, die in dieser Situation erforderlich sind, zu verwalten. Darüber hinaus wissen Sie, dass esfür alle Mitarbeiter von Vorteil wäre, wenn sie weniger Benutzer-IDs und Kennwörter verwenden müss-ten. Gehen Sie wie folgt vor:v Vereinfachen Sie die Kennwortverwaltung für die Auftragsannahmeabteilung. Insbesondere geht es da-

rum, den Benutzerzugriff auf die Anwendung, die von Ihren Mitarbeitern routinemäßig für Kunden-aufträge verwendet wird, effizient zu verwalten.

v Reduzieren Sie die Verwendung mehrerer Benutzer-IDs und Kennwörter für die Mitarbeiter der Abtei-lung und die Netzwerkadministratoren. Sie möchten jedoch nicht, dass die Windows-IDs und IBM i-Benutzerprofile identisch sind. Außerdem möchten Sie kein Kennwort-Caching und keine Kennwort-synchronisation durchführen.

Sie wissen, dass IBM i die Einzelanmeldung unterstützt. Diese Lösung bietet Ihren Benutzern die Mög-lichkeit, nach einmaliger Anmeldung auf mehrere Anwendungen und Services zuzugreifen, für die nor-malerweise bei der Anmeldung mehrere Benutzer-IDs und Kennwörter angegeben werden müssten. Dadie Benutzer zur Ausführung ihrer Arbeit weniger Benutzer-IDs und Kennwörter benötigen, müssen Sieauch weniger Kennwortprobleme lösen. Die Einzelanmeldung scheint eine ideale Lösung zu sein, da siedie Kennwortverwaltung auf folgende Weise vereinfacht:

Netzwerkauthentifizierungsservice 51

Page 58: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Für typische Benutzer, die dieselbe Berechtigung für eine Anwendung benötigen, können Sie Richtlini-enzuordnungen erstellen. Beispiel: Die Mitarbeiter der Auftragsannahmeabteilung sollen in der Lagesein, sich einmal mit ihrem Windows-Benutzernamen und -Kennwort anzumelden und dann auf eineneue Anwendung für Inventarabfrage in der Produktionsabteilung zuzugreifen, ohne sich erneut au-thentifizieren zu müssen. Dennoch möchten Sie sicherstellen, dass die Benutzer mit der richtigen Be-rechtigungsstufe auf die Anwendungen zugreifen können. Zur Erreichung dieses Ziels entscheiden Siesich für die Erstellung einer Richtlinienzuordnung, mit der die Windows-Benutzeridentitäten für dieseBenutzergruppe einem einzigen IBM i-Benutzerprofil zugeordnet werden, das über die richtige Berech-tigungsstufe für die Ausführung der Anwendung für Inventarabfrage verfügt. Da diese Anwendungnur Abfragen zulässt, in denen die Benutzer keine Daten ändern können, besteht für Sie keine Notwen-digkeit einer detaillierten Prüfung. Daher können Sie sicher sein, dass die Verwendung einer Richtlini-enzuordnung in dieser Situation Ihren Sicherheitsrichtlinien entspricht.Sie erstellen eine Richtlinienzuordnung, um die Gruppe der Mitarbeiter der Auftragsannahmeabteilung,die ähnliche Berechtigungen benötigen, einem einzigen IBM i-Benutzerprofil mit der richtigen Berechti-gungsstufe für die Anwendung für Inventarabfrage zuzuordnen. Die Benutzer profitieren davon, da siesich ein Kennwort weniger merken und eine Anmeldung weniger durchführen müssen. Als Administ-rator profitieren Sie, da Sie für den Benutzerzugriff auf die Anwendung nur ein Benutzerprofil stattmehrerer Benutzerprofile für jedes Mitglied der Gruppe verwalten müssen.

v Für jeden Ihrer Netzwerkadministratoren, die Benutzerprofile mit Sonderberechtigungen, wie z. B.*ALLOBJ und *SECADM, verwenden, können Sie Kennungszuordnungen erstellen. Beispielsweise soll-ten alle Benutzeridentitäten eines Netzwerkadministrators untereinander genau und einzeln zugeordnetwerden, da der Administrator eine hohe Berechtigungsstufe besitzt.Auf der Basis der Sicherheitsrichtlinien Ihres Unternehmens erstellen Sie Kennungszuordnungen, umdie Windows-Identität jedes Netzwerkadministrators ausdrücklich seinem IBM i-Benutzerprofil zuzu-ordnen. Sie können die Aktivität des Administrators auf Grund des Eins-zu-eins-Abgleichs, der vonden Kennungszuordnungen bereitgestellt wird, einfacher überwachen und protokollieren. Beispielswei-se können Sie die Jobs und Objekte, die auf dem System ausgeführt werden, für eine bestimmte Benut-zeridentität überwachen. Ihr Netzwerkadministrator profitiert davon, da er sich ein Kennwort wenigermerken und eine Anmeldung weniger durchführen muss. Als Netzwerkadministrator profitieren Siedavon, weil Sie in der Lage sind, die Beziehungen zwischen den Benutzeridentitäten der Administrato-ren genau zu steuern.

Dieses Szenario hat folgende Vorteile:v Vereinfacht den Authentifizierungsprozess für Benutzer.v Vereinfacht die Verwaltung des Zugriffs auf Anwendungen.v Verringert den Systemaufwand für die Verwaltung des Zugriffs auf die Systeme im Netzwerk.v Verringert das Sicherheitsrisiko hinsichtlich des Kennwortdiebstahls.v Macht Mehrfachanmeldungen überflüssig.v Vereinfacht die Verwaltung von Benutzeridentitäten im Netzwerk.

Ziele

In diesem Szenario sind Sie der Administrator von MyCo, Inc., der die Einzelanmeldung für die Benutzerder Auftragsannahmeabteilung aktivieren möchte.

Die Ziele dieses Szenarios sind:v System A und System B müssen zum Realm MYCO.COM gehören, um die Benutzer und Services, die

zur Einzelanmeldungsumgebung gehören, authentifizieren zu können. Wenn Sie die Systeme für dieVerwendung von Kerberos aktivieren möchten, müssen System A und System B für den Netzwerkau-thentifizierungsservice konfiguriert werden.

v IBM Tivoli Directory Server for IBM i (LDAP) auf System A muss als Domänencontroller für die neueEIM-Domäne fungieren.

52 IBM i: Netzwerkauthentifizierungsservice

Page 59: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Anmerkung: Unter dem Thema "Domänen" wird beschrieben, wie zwei verschiedene Domänenarten,eine EIM-Domäne und eine Windows-Domäne, in die Einzelanmeldungsumgebung integriert werdenkönnen.

v Alle Benutzeridentitäten im Kerberos-Register müssen einem einzigen IBM i-Benutzerprofil zugeordnetwerden können. Das Benutzerprofil muss die korrekte Berechtigung für den Benutzerzugriff auf dieAnwendung für Inventarabfrage besitzen.

v Abhängig von den Sicherheitsrichtlinien müssen zwei Administratoren, John Day und Sharon Jones,die auch über Benutzeridentitäten im Kerberos-Register verfügen, Kennungszuordnungen besitzen, umdiese Kennungen ihren IBM i-Benutzerprofilen mit der Sonderberechtigung *SECADM zuzuordnen.Diese Eins-zu-eins-Abgleiche ermöglichen Ihnen, die Jobs und Objekte, die auf dem System ausgeführtwerden, für diese Benutzeridentitäten genau zu überwachen.

v Ein Kerberos-Service-Principal muss verwendet werden, um die Benutzer für die IBM i Access ClientSolutions-Anwendungen zu authentifizieren.

Details

Die folgende Abbildung veranschaulicht die Netzwerkumgebung für dieses Szenario.

Die Abbildung veranschaulicht die folgenden Punkte, die für dieses Szenario relevant sind.

EIM-Domänendaten, die für das Unternehmen definiert sind

v Drei Registerdefinitionsnamen:

Netzwerkauthentifizierungsservice 53

Page 60: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

– Der Registerdefinitionsname MYCO.COM für das Register des Windows-Servers. Sie definieren die-sen Namen, wenn Sie den EIM-Konfigurationsassistenten auf System A ausführen.

– Ein Registerdefinitionsnamen von SYSTEMA.MYCO.COM für das IBM i-Register auf System A. Siedefinieren diesen Namen, wenn Sie den EIM-Konfigurationsassistenten auf System A ausführen.

– Ein Registerdefinitionsnamen von SYSTEMB.MYCO.COM für das IBM i-Register auf System B. Siedefinieren diesen Namen, wenn Sie den EIM-Konfigurationsassistenten auf System B ausführen.

v Zwei Standardrichtlinienzuordnungen für Register (siehe hierzu EIM-Zuordnungen):

Anmerkung: Eine EIM-Suchoperation bewirkt, dass Kennungszuordnungen die höchste Priorität zuge-ordnet wird. Wenn eine Benutzeridentität als Quelle in einer Richtlinienzuordnung und in einer Ken-nungszuordnung definiert ist, wird die Benutzeridentität nur über die Kennungszuordnung zugeord-net. In diesem Szenario verfügen zwei Netzwerkadministratoren, John Day und Sharon Jones, überBenutzeridentitäten im Register MYCO.COM, das die Quelle der Standardrichtlinienzuordnungen fürRegister ist. Diese Administratoren besitzen jedoch, wie unten dargestellt, auch Kennungszuordnungenfür ihre Benutzeridentitäten im Register MYCO.COM. Die Kennungszuordnungen stellen sicher, dassdie Benutzeridentitäten im Register MYCO.COM nicht über die Richtlinienzuordnungen abgeglichenwerden. Die Kennungszuordnungen stellen hingegen sicher, dass ihre Benutzeridentitäten im RegisterMYCO.COM einzeln anderen spezifischen einzelnen Benutzeridentitäten zugeordnet werden.– Eine Standardrichtlinienzuordnung für Register ordnet alle Benutzeridentitäten im Windows-Server-

Register MYCO.COM einem einzigen IBM i-Benutzerprofil mit dem Namen SYSUSERA im RegisterSYSTEMA.MYCO.COM auf System A zu. In diesem Szenario bezeichnen mmiller und ksmith zweidieser Benutzeridentitäten.

– Eine Standardrichtlinienzuordnung für Register ordnet alle Benutzeridentitäten im Windows-Server-Register MYCO.COM einem einzigen IBM i-Benutzerprofil mit dem Namen SYSUSERB im RegisterSYSTEMB.MYCO.COM auf System B zu. In diesem Szenario bezeichnen mmiller und ksmith zweidieser Benutzeridentitäten.

v Zwei EIM-Kennungen mit den Namen John Day und Sharon Jones zur Bezeichnung der zwei Netz-werkadministratoren im Unternehmen, die diese Namen haben.

v Für die EIM-Kennung John Day sind die folgenden Kennungszuordnungen definiert:– Eine Quellenzuordnung für die Benutzeridentität jday, die einen Kerberos-Principal im Register des

Windows-Servers darstellt.– Eine Zielzuordnung für die Benutzeridentität JOHND, die ein Benutzerprofil im IBM i-Register auf

System A darstellt.– Eine Zielzuordnung für die Benutzeridentität DAYJO, die ein Benutzerprofil im IBM i-Register auf

System B darstellt.v Für die EIM-Kennung Sharon Jones sind die folgenden Kennungszuordnungen definiert:

– Eine Quellenzuordnung für die Benutzeridentität sjones, die einen Kerberos-Principal im Registerdes Windows-Servers darstellt.

– Eine Zielzuordnung für die Benutzeridentität SHARONJ, die ein Benutzerprofil im IBM i-Registerauf System A darstellt.

– Eine Zielzuordnung für die Benutzeridentität JONESSH, die ein Benutzerprofil im IBM i-Register aufSystem B darstellt.

Windows-Server

v Fungiert als Kerberos-Server (kdc1.myco.com) für das Netzwerk und wird auch als KDC (Key Distribu-tion Center) bezeichnet.

v Der Standard-Realm für den Kerberos-Server ist MYCO.COM.v Alle Microsoft Active Directory-Benutzer, die keine Kennungszuordnungen besitzen, werden auf allen

IBM i-Plattformen einem einzigen IBM i-Benutzerprofil zugeordnet.

System A

54 IBM i: Netzwerkauthentifizierungsservice

Page 61: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– Qshell Interpreter (5770-SS1 Option 30)– Network Authentication Enablement (5770-NAE)

v Der Directory-Server auf System A wird als EIM-Domänencontroller für die neue EIM-Domäne MyCo-EIM-Domäne konfiguriert.

v Nimmt an der EIM-Domäne MyCo-EIM-Domäne teil.v Hat den Service-Principal-Namen krbsvr400/[email protected] Hat den vollständig qualifizierten Hostnamen systema.myco.com. Dieser Name ist in einem einzigen

Domain Name System (DNS) registriert, auf das alle PCs und Server im Netzwerk zeigen.v In Ausgangsverzeichnissen auf System A ist der Cache für Berechtigungsnachweise für IBM i-Benutzer-

profile gespeichert.

System B

v Arbeitet mit IBM i 5.4 oder einer höheren Version mit den folgenden installierten Optionen und Li-zenzprogrammen:– IBM i Host Servers (5770-SS1 Option 12)– Qshell Interpreter (5770-SS1 Option 30)– Network Authentication Enablement (5770-NAE)

v Hat den vollständig qualifizierten Hostnamen systemb.myco.com. Dieser Name ist in einem einzigenDomain Name System (DNS) registriert, auf das alle PCs und Server im Netzwerk zeigen.

v Der Principal-Name für System B lautet krbsvr400/[email protected] Nimmt an der EIM-Domäne MyCo-EIM-Domäne teil.v In Ausgangsverzeichnissen auf System B ist der Cache für Berechtigungsnachweise für IBM i-Benutzer-

profile gespeichert.

Verwaltungs-PC

v Wird unter dem Betriebssystem Microsoft Windows ausgeführt.v Fungiert als primäres Anmeldesystem für den Administrator.v Konfiguriert als Bestandteil des Realms MYCO.COM (Windows-Domäne).

Voraussetzungen und Annahmen

Zur erfolgreichen Implementierung dieses Szenarios müssen die folgenden Voraussetzungen und Annah-men zutreffen:1. Alle Systemvoraussetzungen einschließlich der Installation der Software und des Betriebssystems wur-

den überprüft.Führen Sie folgende Schritte durch, um festzustellen, ob diese Lizenzprogramme installiert wurden:a. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Konfiguration und Ser-

vice > Software und wählen Sie Installierte Produkte aus.b. Vergewissern Sie sich, dass alle erforderlichen Lizenzprogramme installiert sind.

Anmerkung: Die APIs für den Netzwerkauthentifizierungsservice unterstützen Jobumgebungenfür die meisten EBCDIC-CCSIDs. Die CCSIDs 290 und 5026 werden allerdings nicht unterstützt,da bei den Kleinbuchstaben a bis z eine Varianz auftritt.

2. Die erforderliche Hardwareplanung und -konfiguration wurde durchgeführt.3. TCP/IP und die Basissystemsicherheit wurden auf jedem System konfiguriert und getestet.4. Der Directory-Server und EIM sollten nicht zuvor auf System A konfiguriert worden sein.

Netzwerkauthentifizierungsservice 55

Page 62: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Anmerkung: Die Anweisungen in diesem Szenario basieren auf der Annahme, dass der Directory-Server nicht zuvor auf System A konfiguriert wurde. Wurde der Directory-Server bereits konfiguriert,können Sie diese Anweisungen leicht abgeändert immer noch verwenden. Diese Änderungen sind anden entsprechenden Stellen in den Konfigurationsschritten vermerkt.

5. Für die Auflösung der Hostnamen im Netzwerk wird ein einziger DNS-Server verwendet. Es werdenkeine Hosttabellen für die Auflösung der Hostnamen verwendet.

Anmerkung: Die Verwendung von Hosttabellen bei der Kerberos-Authentifizierung kann zu Fehlernbei der Namensauflösung oder anderen Problemen führen. Ausführliche Informationen zur Auflösungvon Hostnamen bei der Kerberos-Authentifizierung finden Sie unter „Hinweise zur Auflösung vonHostnamen” auf Seite 83.

Konfigurationsschritte

Sie müssen mit den Konzepten im Zusammenhang mit der Einzelanmeldung, wie z. B. dem Netzwerkau-thentifizierungsservice und EIM (Enterprise Identity Mapping), vertraut sein, um dieses Szenario imple-mentieren zu können. Lesen Sie die folgenden Themen, um sich mit den Begriffen und Konzepten im Zu-sammenhang mit der Einzelanmeldung vertraut zu machen:v Enterprise Identity Mapping - Konzeptev Konzepte für Netzwerkauthentifizierungsservice

Führen Sie die folgenden Schritte durch, um die Einzelanmeldung auf Ihrem System zu konfigurieren.Zugehörige Konzepte:Übersicht zur EinzelanmeldungDomänen

Planungsarbeitsblätter ausfüllenDiese Planungsarbeitsblätter veranschaulichen die Informationen, die Sie aufzeichnen, sowie die Entschei-dungen, die Sie treffen müssen, wenn Sie die Konfiguration der von diesem Szenario beschriebenen Ein-zelanmeldungsfunktion vorbereiten.

Die folgenden Planungsarbeitsblätter wurden basierend auf den allgemeinen Planungsarbeitsblättern derEinzelanmeldung an dieses Szenario angepasst. Um eine erfolgreiche Implementierung sicherzustellen,sollten Sie für alle vorausgesetzten Elemente im Arbeitsblatt die Antwort "Ja" geben können. Außerdemsollten Sie alle Informationen, die zur Fertigstellung der Arbeitsblätter erforderlich sind, aufzeichnen, be-vor Sie Konfigurationsaufgaben ausführen.

Anmerkung: Die APIs für den Netzwerkauthentifizierungsservice unterstützen Jobumgebungen für diemeisten EBCDIC-CCSIDs. Die CCSIDs 290 und 5026 werden allerdings nicht unterstützt, da bei denKleinbuchstaben a bis z eine Varianz auftritt.

Tabelle 12. Arbeitsblatt für Voraussetzungen der Einzelanmeldung

Arbeitsblatt für Voraussetzungen Antworten

Arbeitet Ihr System mit IBM i 5.4 oder einer höheren Version (5770-SS1)?

Ja

Sind auf System A und System B die folgenden Optionen undLizenzprogramme installiert:

v IBM i Host Servers (5770-SS1 Option 12)

v Qshell Interpreter (5770-SS1 Option 30)

v Network Authentication Enablement (5770-NAE)

Ja

56 IBM i: Netzwerkauthentifizierungsservice

Page 63: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 12. Arbeitsblatt für Voraussetzungen der Einzelanmeldung (Forts.)

Arbeitsblatt für Voraussetzungen Antworten

Ist eine Anwendung installiert, die auf allen PCs, die sich in derEinzelanmeldungsumgebung befinden, für die Einzelanmeldung ak-tiviert ist?Anmerkung: In diesem Szenario wurde für alle teilnehmenden PCsIBM i Access Client Solutions (5733-XJ1) installiert. Weitere Informa-tionen sind im Handbuch IBM i Access Client Solutions: GettingStarted zu finden.

Ja

Besitzt der Administrator für Einzelanmeldung dieSonderberechtigungen *SECADM, *ALLOBJ und *IOSYSCFG?

Ja

Fungiert eines der folgenden Systeme als Kerberos-Server (auch alsKDC bezeichnet)? Wenn ja, geben Sie an, um welches System es sichhandelt.

1. Microsoft Windows-Server

2. PASE für i (5.4 oder höher)

3. AIX-Server

4. z/OS

Ja, Windows-Server

Sind alle PCs Ihres Netzwerks in einer Windows-Domäne konfigu-riert?

Ja

Wurden die neuesten PTFs (vorläufigen Programmkorrekturen) an-gelegt?

Ja

Beträgt die Abweichung zwischen der Systemzeit des IBM i-Systemsund der Systemzeit des Kerberos-Servers maximal fünf Minuten? Istdie Abweichung größer, lesen Sie die Informationen unter„Systemzeiten synchronisieren” auf Seite 103.

Ja

Sie benötigen diese Informationen, um EIM und den Netzwerkauthentifizierungsservice auf System A zukonfigurieren.

Tabelle 13. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung für System A

Planungsarbeitsblatt für die Konfiguration von System A Antworten

Verwenden Sie die folgenden Informationen, um den EIM-Konfigurationsassistenten auszuführen. Die Informatio-nen in diesem Arbeitsblatt korrelieren mit den Informationen, die Sie zur Angabe auf den einzelnen Seiten im Assis-tenten benötigen:

Wie möchten Sie EIM auf Ihrem System konfigurieren?

v System zu einer vorhandenen Domäne hinzufügen

v Neue Domäne erstellen und System hinzufügen

Neue Domäne erstellen und System hinzufü-gen

Wo möchten Sie die EIM-Domäne konfigurieren? Auf dem lokalen Directory-ServerAnmerkung: Bei dieser Auswahl wird derDirectory-Server auf demselben System konfi-guriert, auf dem Sie gegenwärtig EIM konfigu-rieren.

Möchten Sie den Netzwerkauthentifizierungsservice konfigurieren?Anmerkung: Sie müssen den Netzwerkauthentifizierungsservicekonfigurieren, um die Einzelanmeldung konfigurieren zu können.

Ja

Der Assistent für den Netzwerkauthentifizierungsservice wird über den EIM-Konfigurationsassistenten gestartet.Verwenden Sie die folgenden Informationen, um den Assistenten für den Netzwerkauthentifizierungsservice auszu-führen.

Netzwerkauthentifizierungsservice 57

Page 64: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 13. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung für System A (Forts.)

Planungsarbeitsblatt für die Konfiguration von System A Antworten

Wie lautet der Name des Kerberos-Standard-Realms, zu dem IhrIBM i-System gehören soll?Anmerkung: Eine Windows-Domäne ist mit einem Kerberos-Realm vergleichbar.

MYCO.COM

Verwenden Sie Microsoft Active Directory? Ja

Wie heißt der Kerberos-Server, der auch als KDC (Key DistributionCenter) bezeichnet wird, für diesen Kerberos-Standard-Realm? Anwelchem Port ist der Kerberos-Server empfangsbereit?

KDC: kdc1.myco.comPort: 88Anmerkung: Dies ist der Standardport für denKerberos-Server.

Möchten Sie einen Kennwortserver für diesen Standard-Realmkonfigurieren? Wenn ja, beantworten Sie die folgenden Fragen:

Wie lautet der Name des Kennwortservers für diesen Kerberos-Server?An welchem Port ist der Kennwortserver empfangsbereit?

Ja

Kennwortserver:kdc1.myco.comPort: 464Anmerkung: Dies ist der Standardport fürden Kennwortserver.

Für welche Services sollen Chiffrierschlüsseleinträge erstellt wer-den?

v IBM i-Kerberos-Authentifizierung

v LDAP

v IBM HTTP-Server

v IBM i NetServer

v NFS-Server

IBM i-Kerberos-Authentifizierung

Wie lautet das Kennwort für Ihre(n) Service-Principal(s)? systema123

Möchten Sie eine Stapeldatei erstellen, um das Hinzufügen der Ser-vice-Principals für System A zum Kerberos-Register zu automati-sieren?

Ja

Möchten Sie den IBM i-Service-Principals in der Stapeldatei Kenn-wörter hinzufügen?

Ja

Wenn Sie den Assistenten für den Netzwerkauthentifizierungsservice verlassen, gelangen Sie in den EIM-Konfigurationsassistenten zurück. Verwenden Sie die folgenden Informationen, um den EIM-Konfigurationsassistenten auszuführen:

Geben Sie Benutzerinformationen an, die der Assistent bei derKonfiguration des Directory-Servers verwenden soll. Dies ist derBenutzer der Verbindung. Sie müssen die Portnummer, den regist-rierten Namen (Distinguished Name, DN) des Administrators undein Kennwort für den Administrator angeben.Anmerkung: Geben Sie den registrierten Namen und das Kenn-wort des LDAP-Administrators an, um sicherzustellen, dass derAssistent eine ausreichende Berechtigung zur Verwaltung der EIM-Domäne und der darin enthaltenen Objekte besitzt.

Port: 389Registrierter Name: cn=AdministratorKennwort: mycopwd

Wie lautet der Name der EIM-Domäne, die Sie erstellen möchten? MyCo-EIM-Domäne

Möchten Sie einen übergeordneten registrierten Namen für dieEIM-Domäne angeben?

Nein

Welche Benutzerregister möchten Sie zur EIM-Domäne hinzufü-gen?

Lokales IBM i--SYSTEMA.MYCO.COMKerberos--KDC1.MYCO.COMAnmerkung: Sie dürfen die Auswahl BeiKerberos-Benutzeridentifikationen muss dieGroß-/Kleinschreibung beachtet werden nichtauswählen, wenn sie vom Assistenten angebo-ten wird.

58 IBM i: Netzwerkauthentifizierungsservice

Page 65: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 13. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung für System A (Forts.)

Planungsarbeitsblatt für die Konfiguration von System A Antworten

Welchen EIM-Benutzer soll System A bei der Ausführung von EIM-Operationen verwenden? Dies ist der Systembenutzer.Anmerkung: Wenn Sie den Directory-Server nicht vor der Konfi-guration der Einzelanmeldung konfiguriert haben, können Sie alsregistrierten Namen für den Systembenutzer nur die Kombinationaus dem registrierten Namen und dem Kennwort des LDAP-Ad-ministrators bereitstellen.

Benutzerart:Registrierter NameRegistrierter Name: cn=AdministratorKennwort: mycopwd

Sie benötigen diese Informationen, damit System B die EIM-Domäne nutzen kann und Sie den Netz-werkauthentifizierungsservice auf System B konfigurieren können.

Tabelle 14. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung für System B

Planungsarbeitsblatt für die Konfiguration von System B Antworten

Verwenden Sie die folgenden Informationen, um den EIM-Konfigurationsassistenten für System B auszuführen:

Wie möchten Sie EIM auf Ihrem System konfigurieren? System zu einer vorhandenen Domäne hinzufü-gen

Möchten Sie den Netzwerkauthentifizierungsservice konfigurie-ren?Anmerkung: Sie müssen den Netzwerkauthentifizierungsservicekonfigurieren, um die Einzelanmeldung konfigurieren zu können.

Ja

Der Assistent für den Netzwerkauthentifizierungsservice wird über den EIM-Konfigurationsassistenten gestartet.Verwenden Sie die folgenden Informationen, um den Assistenten für den Netzwerkauthentifizierungsservice auszu-führen:Anmerkung: Der Assistent für den Netzwerkauthentifizierungsservice kann unabhängig vom EIM-Konfigurationsassistenten gestartet werden.

Wie lautet der Name des Kerberos-Standard-Realms, zu dem IhrIBM i-System gehören soll?Anmerkung: Eine Windows-Domäne ist mit einem Kerberos-Realm vergleichbar.

MYCO.COM

Verwenden Sie Microsoft Active Directory? Ja

Welcher Kerberos-Server wird für diesen Kerberos-Standard-Realm verwendet? An welchem Port ist der Kerberos-Serverempfangsbereit?

KDC: kdc1.myco.comPort: 88Anmerkung: Dies ist der Standardport für denKerberos-Server.

Möchten Sie einen Kennwortserver für diesen Standard-Realmkonfigurieren? Wenn ja, beantworten Sie die folgenden Fragen:

Wie lautet der Name des Kennwortservers für diesen Kerberos-Server?An welchem Port ist der Kennwortserver empfangsbereit?

Ja

Kennwortserver:kdc1.myco.comPort: 464Anmerkung: Dies ist der Standardport für denKennwortserver.

Für welche Services sollen Chiffrierschlüsseleinträge erstellt wer-den?

v IBM i-Kerberos-Authentifizierung

v LDAP

v IBM HTTP-Server

v IBM i NetServer

v NFS-Server

IBM i-Kerberos-Authentifizierung

Wie lautet das Kennwort für Ihre IBM i-Service-Principals? systemb123

Netzwerkauthentifizierungsservice 59

Page 66: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 14. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung für System B (Forts.)

Planungsarbeitsblatt für die Konfiguration von System B Antworten

Möchten Sie eine Stapeldatei erstellen, um das Hinzufügen derService-Principals für System B zum Kerberos-Register zu auto-matisieren?

Ja

Möchten Sie den IBM i-Service-Principals in der Stapeldatei Kenn-wörter hinzufügen?

Ja

Wenn Sie den Assistenten für den Netzwerkauthentifizierungsservice verlassen, gelangen Sie in den EIM-Konfigurationsassistenten zurück. Verwenden Sie die folgenden Informationen, um den EIM-Konfigurationsassistenten für System B auszuführen:

Wie lautet der Name des EIM-Domänencontrollers für die EIM-Domäne, die Sie dem System hinzufügen möchten?

systema.myco.com

Möchten Sie die Verbindung mit SSL oder TLS sichern? Nein

An welchem Port ist der EIM-Domänencontroller empfangsbereit? 389

Über welchen Benutzer möchten Sie eine Verbindung zumDomänencontroller herstellen? Dies ist der Benutzer der Verbin-dung.Anmerkung: Geben Sie den registrierten Namen und das Kenn-wort des LDAP-Administrators an, um sicherzustellen, dass derAssistent eine ausreichende Berechtigung zur Verwaltung derEIM-Domäne und der darin enthaltenen Objekte besitzt.

Benutzerart: Registrierter Name und KennwortRegistrierter Name: cn=AdministratorKennwort: mycopwd

Wie lautet der Name der EIM-Domäne, die Sie dem System hin-zufügen möchten?

MyCo-EIM-Domäne

Möchten Sie einen übergeordneten registrierten Namen für dieEIM-Domäne angeben?

Nein

Wie lautet der Name des Benutzerregisters, das Sie zur EIM-Do-mäne hinzufügen möchten?

Lokales IBM i--SYSTEMB.MYCO.COM

Welchen EIM-Benutzer soll System B bei der Ausführung vonEIM-Operationen verwenden? Dies ist der Systembenutzer.Anmerkung: In einer früheren Phase dieses Szenarios haben Sieden EIM-Konfigurationsassistenten verwendet, um den Directory-Server auf System A zu konfigurieren. Auf diese Weise haben Sieeinen registrierten Namen und ein Kennwort für den LDAP-Ad-ministrator erstellt. Dies ist der einzige registrierte Name, der fürden Directory-Server definiert ist. Daher müssen Sie diesen regist-rierten Namen und das Kennwort hier angeben.

Benutzerart: Registrierter Name und KennwortRegistrierter Name: cn=AdministratorKennwort: mycopwd

Tabelle 15. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung - Benutzerprofile

Name des IBMi-Benutzerprofils

Kennwort ist angegeben Sonderberechtigung(Berechtigungsklasse)

System

SYSUSERA Nein Benutzer System A

SYSUSERB Nein Benutzer System B

Tabelle 16. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung - EIM-Domänendaten

Name der Kennung Benutzerregister Benutzeridentität Zuordnungsart Beschreibung derKennung

John Day MYCO.COM jday Quelle Benutzeridentität fürKerberos-Anmeldung(Windows)

John Day SYSTEMA.MYCO.COM JOHND Ziel IBM i-Benutzerprofilauf System A

60 IBM i: Netzwerkauthentifizierungsservice

Page 67: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 16. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung - EIM-Domänendaten (Forts.)

Name der Kennung Benutzerregister Benutzeridentität Zuordnungsart Beschreibung derKennung

John Day SYSTEMB.MYCO.COM DAYJO Ziel IBM i-Benutzerprofilauf System B

Sharon Jones MYCO.COM sjones Quelle Benutzeridentität fürKerberos-Anmeldung(Windows)

Sharon Jones SYSTEMA.MYCO.COM SHARONJ Ziel IBM i-Benutzerprofilauf System A

Sharon Jones SYSTEMB.MYCO.COM JONESSH Ziel IBM i-Benutzerprofilauf System B

Tabelle 17. Planungsarbeitsblatt für die Konfiguration der Einzelanmeldung - EIM-Domänendaten -Richtlinienzuordnungen

Art derRichtlinienzuordnung

Benutzerregister(Quelle)

Benutzerregister (Ziel) Benutzeridentität Beschreibung

Standardregister MYCO.COM SYSTEMA.MYCO.COM SYSUSERA Ordnet authentifi-zierten Kerberos-Benutzer dementsprechendenIBMi-Benutzerprofil zu

Standardregister MYCO.COM SYSTEMB.MYCO.COM SYSUSERB Ordnet authentifi-zierten Kerberos-Benutzer dementsprechendenIBMi-Benutzerprofil zu

Einzelanmeldungsbasiskonfiguration für System A erstellenDer EIM-Konfigurationsassistent hilft Ihnen bei der Erstellung einer EIM-Basiskonfiguration. Er ruft au-ßerdem den Assistenten für den Netzwerkauthentifizierungsservice auf, damit Sie eine Basiskonfigurationdes Netzwerkauthentifizierungsservice erstellen können.

Anmerkung: Die Anweisungen in diesem Szenario basieren auf der Annahme, dass der Directory-Servernicht zuvor auf System A konfiguriert wurde. Wurde der Directory-Server bereits konfiguriert, können Siediese Anweisungen leicht abgeändert immer noch verwenden. Diese Änderungen sind an den entspre-chenden Stellen in den Konfigurationsschritten vermerkt.

Verwenden Sie die Informationen in den Arbeitsblättern, um EIM und den Netzwerkauthentifizierungs-service auf System A zu konfigurieren. Dieser Schritt setzt sich aus folgenden Tasks zusammen:v Eine neue EIM-Domäne erstellen.v Den Directory-Server auf System A als EIM-Domänencontroller konfigurieren.v Den Netzwerkauthentifizierungsservice konfigurieren.v EIM-Registerdefinitionen für das IBM i-Register und das Kerberos-Register auf System A erstellen.v System A zur Nutzung der EIM-Domäne konfigurieren.1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping > Konfiguration.2. Klicken Sie auf Konfigurieren, um den EIM-Konfigurationsassistenten zu starten.

Netzwerkauthentifizierungsservice 61

Page 68: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

3. Wählen Sie auf der Begrüßungsseite Neue Domäne erstellen und System hinzufügen aus. KlickenSie auf Weiter.

4. Wählen Sie auf der Seite 'Position der EIM-Domäne angeben' Auf dem lokalen Directory-Serveraus. Klicken Sie auf Weiter.

5. Führen Sie die folgenden Schritte durch, um den Netzwerkauthentifizierungsservice zu konfigurie-ren:a. Wählen Sie auf der Seite 'Netzwerkauthentifizierungsservice konfigurieren' die Einstellung Ja aus.

Anmerkung: Auf diese Weise wird der Assistent für den Netzwerkauthentifizierungsservice ge-startet. Mit diesem Assistenten können Sie verschiedene IBM i-Schnittstellen und -Services zurNutzung des Kerberos-Realms konfigurieren.

b. Geben Sie auf der Seite 'Realm-Informationen angeben' im Feld Standard-Realm den WertMYCO.COM ein und wählen Sie Microsoft Active Directory wird für Kerberos-Authentifizierungverwendet aus. Klicken Sie auf Weiter.

c. Geben Sie auf der Seite 'KDC-Informationen angeben' im Feld KDC als Namen des Kerberos-Ser-vers den Wert kdc1.myco.com und im Feld Port den Wert 88 ein. Klicken Sie auf Weiter.

d. Wählen Sie auf der Seite 'Kennwortserverinformationen angeben' die Einstellung Ja aus. GebenSie im Feld Kennwortserver den Wert kdc1.myco.com und im Feld Port den Wert 464 ein. KlickenSie auf Weiter.

e. Wählen Sie auf der Seite 'Chiffrierschlüsseleinträge auswählen' IBM i-Kerberos-Authentifizie-rung aus. Klicken Sie auf Weiter.

f. Geben Sie auf der Seite 'IBM i-Chiffrierschlüsseleintrag erstellen' ein Kennwort ein, und bestätigenSie es. Klicken Sie anschließend auf Weiter. Beispiel: systema123. Dieses Kennwort wird verwen-det, wenn der Service-Principal von System A zum Kerberos-Server hinzugefügt wird.

g. Wählen Sie auf der Seite 'Stapeldatei erstellen' die Einstellung Ja aus, machen Sie die folgendenAngaben, und klicken Sie dann auf Weiter:v Stapeldatei: Fügen Sie am Ende des standardmäßig verwendeten Stapeldateinamens die Zei-

chenfolge systema an. Beispiel: /QIBM/UserData/OS400/iSeriesNavigator/config/NASConfig_systema.bat.

v Wählen Sie Kennwort einfügen aus. Dies garantiert, dass alle Kennwörter, die dem IBM i-Ser-vice-Principal zugeordnet sind, in die Stapeldatei eingefügt werden. Beachten Sie, dass Kenn-wörter in Klartext angezeigt werden und von jeder Person mit Lesezugriffsberechtigung für dieStapeldatei gelesen werden können. Daher wird empfohlen, dass Sie die Stapeldatei nach demGebrauch unverzüglich vom Kerberos-Server und aus IBM i löschen.

Anmerkung: Wenn Sie das Kennwort nicht einfügen, werden Sie bei der Ausführung der Sta-peldatei zur Eingabe des Kennworts aufgefordert.

h. Auf der Seite 'Zusammenfassung' können Sie die Details zur Konfiguration des Netzwerkauthen-tifizierungsservice überprüfen. Klicken Sie auf Fertig stellen.

6. Geben Sie auf der Seite 'Directory-Server konfigurieren' die folgenden Informationen ein, und klickenSie auf Weiter:

Hinweise:

v Wenn Sie den Directory-Server vor dem Beginn dieses Szenarios konfiguriert haben, erscheint anStelle der Seite 'Directory-Server konfigurieren' die Seite 'Benutzer für Verbindung angeben'. Indiesem Fall müssen Sie den registrierten Namen und das Kennwort für den LDAP-Administratorangeben.

v Wenn Sie auf Systemen, die mit IBM i 6.1 arbeiten, mehrere Directory-Server konfiguriert haben,werden die Seiten 'Directory-Server-Instanz angeben' und 'Benutzer für Verbindung angeben' an-gezeigt. In diesem Fall müssen Sie die registrierten Namen und die Kennwörter für den LDAP-Administrator angeben.

v Port: 389

62 IBM i: Netzwerkauthentifizierungsservice

Page 69: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

7. Geben Sie auf der Seite 'Domäne angeben' im Feld Domäne den Namen der Domäne ein. Beispiel:MyCo-EIM-Domäne.

8. Wählen Sie auf der Seite 'Übergeordneten registrierten Namen für Domäne angeben' die OptionNein aus. Klicken Sie auf Weiter.

Anmerkung: Wenn der Directory-Server aktiv ist, wird die Nachricht angezeigt, dass Sie den Direc-tory-Server beenden und erneut starten müssen, damit die Änderungen wirksam werden. KlickenSie auf Ja, um den Directory-Server erneut zu starten.

9. Wählen Sie auf der Seite 'Registerinformationen' Lokales IBM i und Kerberos aus. Klicken Sie aufWeiter. Notieren Sie die Registernamen. Sie benötigen diese Registernamen, wenn Sie Zuordnungenzu EIM-Kennungen erstellen.

Hinweise:

v Registernamen müssen in der Domäne eindeutig sein.v Sie können für das Benutzerregister einen speziellen Registerdefinitionsnamen eingeben, wenn Sie

einen Benennungsplan für Registerdefinitionen verwenden möchten. Für dieses Szenario könnenSie jedoch die Standardwerte akzeptieren.

10. Wählen Sie auf der Seite 'EIM-Systembenutzer angeben' den Benutzer aus, den das Betriebssystembei der Ausführung von EIM-Operationen für Betriebssystemfunktionen verwendet. Klicken Sie an-schließend auf Weiter:

Anmerkung: Da Sie den Directory-Server nicht konfiguriert haben, bevor Sie die Schritte in diesemSzenario durchgeführt haben, können Sie nur den registrierten Namen des LDAP-Administrators alsregistrierten Namen auswählen.v Benutzerart: Registrierter Name und Kennwort

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

11. Bestätigen Sie die EIM-Konfigurationsdaten auf der Seite Zusammenfassung. Klicken Sie auf Fertigstellen.

System B zur Nutzung der EIM-Domäne und für den Netzwerkauthentifizierungs-service konfigurierenNachdem Sie eine neue Domäne erstellt und den Netzwerkauthentifizierungsservice auf System A konfi-guriert haben, müssen Sie System B zur Nutzung der EIM-Domäne konfigurieren. Außerdem müssen Sieauf System B den Netzwerkauthentifizierungsservice konfigurieren.

Verwenden Sie die Informationen aus Ihren Arbeitsblättern, um diesen Schritt durchzuführen.1. Erweitern Sie in IBM Navigator for i auf System B den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping > Konfiguration.2. Klicken Sie auf Konfigurieren, um den EIM-Konfigurationsassistenten zu starten.3. Wählen Sie auf der Begrüßungsseite System zu einer vorhandenen Domäne hinzufügen aus. Kli-

cken Sie auf Weiter.4. Führen Sie die folgenden Schritte durch, um den Netzwerkauthentifizierungsservice zu konfigurie-

ren.a. Wählen Sie auf der Seite 'Netzwerkauthentifizierungsservice konfigurieren' die Einstellung Ja aus.

Anmerkung: Auf diese Weise wird der Assistent für den Netzwerkauthentifizierungsservice ge-startet. Mit diesem Assistenten können Sie verschiedene IBM i-Schnittstellen und -Services zurNutzung eines Kerberos-Netzwerks konfigurieren.

Netzwerkauthentifizierungsservice 63

Page 70: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

b. Geben Sie auf der Seite 'Realm-Informationen angeben' im Feld Standard-Realm den WertMYCO.COM ein und wählen Sie Microsoft Active Directory wird für Kerberos-Authentifizierungverwendet aus. Klicken Sie auf Weiter.

c. Geben Sie auf der Seite 'KDC-Informationen angeben' im Feld KDC als Namen des Kerberos-Ser-vers den Wert kdc1.myco.com und im Feld Port den Wert 88 ein. Klicken Sie auf Weiter.

d. Wählen Sie auf der Seite 'Kennwortserverinformationen angeben' die Einstellung Ja aus. GebenSie im Feld Kennwortserver den Wert kdc1.myco.com und im Feld Port den Wert 464 ein. KlickenSie auf Weiter.

e. Wählen Sie auf der Seite 'Chiffrierschlüsseleinträge auswählen' IBM i-Kerberos-Authentifizie-rung aus. Klicken Sie auf Weiter.

f. Geben Sie auf der Seite 'IBM i-Chiffrierschlüsseleintrag erstellen' ein Kennwort (z. B. systema123)ein und bestätigen Sie es. Klicken Sie anschließend auf Weiter. Dieses Kennwort wird verwendet,wenn der Service-Principal von System A zum Kerberos-Server hinzugefügt wird.

g. Optional: Wählen Sie auf der Seite 'Stapeldatei erstellen' die Einstellung Ja aus, machen Sie diefolgenden Angaben, und klicken Sie dann auf Weiter:v Stapeldatei: Fügen Sie am Ende des standardmäßig verwendeten Stapeldateinamens die Zei-

chenfolge systemb an. Geben Sie z. B. /QIBM/UserData/OS400/iSeriesNavigator/config/NASConfig_systemb.bat ein.

v Wählen Sie Kennwort einfügen aus. Dies garantiert, dass alle Kennwörter, die dem IBM i-Ser-vice-Principal zugeordnet sind, in die Stapeldatei eingefügt werden. Beachten Sie, dass Kenn-wörter in Klartext angezeigt werden und von jeder Person mit Lesezugriffsberechtigung für dieStapeldatei gelesen werden können. Daher wird empfohlen, dass Sie die Stapeldatei nach demGebrauch unverzüglich vom Kerberos-Server und aus IBM i löschen.

Anmerkung: Wenn Sie das Kennwort nicht einfügen, werden Sie bei der Ausführung der Sta-peldatei zur Eingabe des Kennworts aufgefordert.

h. Auf der Seite 'Zusammenfassung' können Sie die Details zur Konfiguration des Netzwerkauthen-tifizierungsservice überprüfen. Klicken Sie auf Fertig stellen.

5. Geben Sie auf der Seite 'Domänencontroller angeben' die folgenden Informationen ein, und klickenSie auf Weiter:v Domänencontrollername: systema.myco.comv Port: 389

6. Geben Sie auf der Seite 'Benutzer für Verbindung angeben' die folgenden Informationen an, und kli-cken Sie auf Weiter:

Anmerkung: Geben Sie die Werte für den registrierten Namen des LDAP-Administrators sowie fürdessen Kennwort an, die Sie zuvor in diesem Szenario auf System A definiert haben.a. Benutzerart: Registrierter Name und Kennwort

b. Registrierter Name: cn=Administratorc. Kennwort: mycopwd

7. Geben Sie auf der Seite 'Domäne angeben' den Namen der Domäne an, die Sie dem System hinzufü-gen möchten. Klicken Sie auf Weiter. Beispiel: MyCo-EIM-Domäne.

8. Wählen Sie auf der Seite 'Registerinformationen' Lokales IBM i aus und heben Sie die Auswahl vonKerberos-Register auf. (Das Kerberos-Register wurde beim Erstellen der Domäne MyCo-EIM er-stellt.) Klicken Sie auf Weiter. Notieren Sie die Registernamen. Sie benötigen diese Registernamen,wenn Sie Zuordnungen zu EIM-Kennungen erstellen.

Hinweise:

v Registernamen müssen in der Domäne eindeutig sein.

64 IBM i: Netzwerkauthentifizierungsservice

Page 71: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Sie können für das Benutzerregister einen speziellen Registerdefinitionsnamen eingeben, wenn Sieeinen Benennungsplan für Registerdefinitionen verwenden möchten. Für dieses Szenario könnenSie jedoch die Standardwerte akzeptieren.

9. Wählen Sie auf der Seite 'EIM-Systembenutzer angeben' den Benutzer aus, den das Betriebssystembei der Ausführung von EIM-Operationen für Betriebssystemfunktionen verwendet. Klicken Sie an-schließend auf Weiter:

Anmerkung: Geben Sie die Werte für den registrierten Namen des LDAP-Administrators sowie fürdessen Kennwort an, die Sie zuvor in diesem Szenario auf System A definiert haben.a. Benutzerart: Registrierter Name und Kennwort

b. Registrierter Name: cn=Administratorc. Kennwort: mycopwd

10. Bestätigen Sie auf der Seite 'Zusammenfassung' die EIM-Konfiguration. Klicken Sie auf Fertig stel-len.

Beide IBM i-Service-Principals zum Kerberos-Server hinzufügenSie können die erforderlichen IBM i-Service-Principals manuell zum Kerberos-Server hinzufügen. Wie imfolgenden Szenario dargestellt, können Sie auch eine Stapeldatei verwenden, um diese hinzuzufügen.

Sie haben diese Stapeldatei in Schritt 2 erstellt. Wenn Sie diese Datei verwenden möchten, können Sie dieDatei mit der IFS-Downloadfunktion in IBM Navigator for i auf den Kerberos-Server kopieren und dannausführen.

Führen Sie die folgenden Schritte durch, um Namen von Principals anhand der Stapeldatei zum Kerbe-ros-Server hinzuzufügen:1. Vom Assistenten erstellte Stapeldatei auf den Kerberos-Server herunterladen

a. Gehen Sie als Administrator Ihres Windows-Servers wie folgt vor:1) Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Datei-

systeme > Integrated File System > Root > QIBM > UserData > OS400 > iSeriesNavigator >config.

2) Klicken Sie mit der rechten Maustaste auf NASConfig_systema.bat und wählen Sie Downloadaus.

3) Klicken Sie in der Bestätigungsanzeige zum Herunterladen auf Download.4) Speichern Sie die Datei. Sie wird daraufhin an der Speicherposition für den Download Ihres

Browsers gespeichert. Lesen Sie in der Browserdokumentation nach, wie die Position desDownloadordners geändert werden kann. Üblicherweise ist dies der Ordner Downloads.

Anmerkung: Es wird empfohlen, dass Sie die Datei NASConfig_systema.bat jetzt auf System Alöschen.

2. Beide Stapeldateien auf kdc1.myco.com ausführena. Öffnen Sie auf dem Windows-Server den Ordner, in den Sie die Stapeldatei heruntergeladen ha-

ben.b. Suchen Sie die Datei NASConfig_systema.bat und führen Sie sie durch Doppelklicken aus.c. Wiederholen Sie die Schritte 1a bis 2b für NASConfig_systemb.bat.d. Vergewissern Sie sich nach der Ausführung der Dateien, dass der IBM i-Principal zum Kerberos-

Server hinzugefügt wurde. Führen Sie dazu die folgenden Schritte durch:1) Erweitern Sie auf dem Windows-Server den Eintrag für Verwaltungstools > Active Directory-

Benutzer und -Computer > Benutzer.2) Vergewissern Sie sich, dass die IBM i-Plattform über ein Benutzerkonto verfügt, indem Sie die

entsprechende Windows-Domäne auswählen.

Netzwerkauthentifizierungsservice 65

Page 72: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Anmerkung: Diese Windows-Domäne muss mit dem Namen des Standard-Realms überein-stimmen, den Sie bei der Konfiguration des Netzwerkauthentifizierungsservice angegeben ha-ben.

3) Suchen Sie in der angezeigten Benutzerliste die Einträge systema_1_krbsvr400 undsystemb_1_krbsvr400. Dies sind die Benutzerkonten, die für den IBM i-Principal-Namen gene-riert wurden.

4) Rufen Sie die Eigenschaften der Active Directory-Benutzer auf. Wählen Sie auf der Registerkar-te Delegierung die Option Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerbe-ros) aus.

Anmerkung: Dieser optionale Schritt ermöglicht es Ihrem System, die Berechtigungsnachweiseeines Benutzers an andere Systeme zu delegieren oder weiterzuleiten. Folglich kann der IBM i-Service-Principal im Namen des Benutzers auf Services zuzugreifen, die sich auf mehreren Sys-temen befinden. Dies ist besonders in einem Netzwerk mit mehreren Ebenen von Vorteil.

Benutzerprofile auf System A und System B erstellenDie Benutzer im Kerberos-Register MYCO.COM sollen alle einem einzigen IBM i-Benutzerprofil auf IhrenIBM i-Plattformen zugeordnet werden. Daher müssen Sie ein IBM i-Benutzerprofil auf System A und Sys-tem B erstellen.

Verwenden Sie die Informationen aus Ihren Arbeitsblättern, um ein Benutzerprofil für diese Benutzer zuerstellen:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Benutzer und

Gruppen.2. Klicken Sie auf Benutzer.3. Wählen sie im Pulldown-Menü Aktionen die Option Neu > Benutzer aus.4. Geben Sie im Dialogfenster Neuer Benutzer im Feld Benutzername den Wert SYSUSERA ein.5. Wählen Sie im Feld Kennwort die Auswahl Kein Kennwort (Anmeldung nicht zulässig) aus.6. Klicken Sie auf Funktionsspektrum.7. Wählen Sie auf der Seite 'Berechtigungen' im Feld Berechtigungsklasse die Einstellung Benutzer aus.

Klicken Sie auf OK und dann auf Hinzufügen.8. Wiederholen Sie die Schritte 1 bis 7 auf System B, geben Sie dabei jedoch im Feld Benutzername die

Zeichenfolge SYSUSERB ein.

Ausgangsverzeichnisse auf System A und System B erstellenJeder Benutzer, der eine Verbindung zu IBM i und zu IBM i-Anwendungen herstellen möchte, benötigtein Verzeichnis im Ausgangsverzeichnis (/home). In diesem Verzeichnis wird der dem Benutzer zugeord-nete Kerberos-Cache für Berechtigungsnachweise gespeichert.

Führen Sie die folgenden Schritte durch, um ein Ausgangsverzeichnis für einen Benutzer zu erstellen:1. Geben Sie in der Befehlszeile von System A CRTDIR '/home/Benutzerprofil' ein, wobei

Benutzerprofil den Namen des IBM i-Benutzerprofils für den Benutzer bezeichnet. Beispiel: CRTDIR'/home/SYSUSERA'.

2. Wiederholen Sie diesen Befehl auf System B, geben Sie dabei jedoch SYSUSERB ein, um ein Ausgangs-verzeichnis für das Benutzerprofil auf System B zu erstellen.

Netzwerkauthentifizierungsservice auf System A und System B testenNachdem Sie die Tasks zur Konfiguration des Netzwerkauthentifizierungsservice für beide Systeme aus-geführt haben, müssen Sie überprüfen, ob Ihre Konfigurationen für System A und System B ordnungsge-mäß funktionieren.

Zum Testen der Funktionsfähigkeit dieser Konfigurationen können Sie die folgenden Schritte durchfüh-ren, um ein Ticket-granting Ticket für die Principals von System A und System B anzufordern:

66 IBM i: Netzwerkauthentifizierungsservice

Page 73: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Anmerkung: Vergewissern Sie sich, dass Sie ein Ausgangsverzeichnis für Ihr IBM i-Benutzerprofil erstellthaben, bevor Sie diese Prozedur ausführen.1. Geben Sie in einer Befehlszeile QSH ein, um den Qshell Interpreter zu starten.2. Geben Sie keytab list ein, um eine Liste der Principals anzuzeigen, die in der Chiffrierschlüsseldatei

registriert sind. In diesem Szenario sollte krbsvr400/[email protected] als Name desPrincipals für System A erscheinen.

3. Geben Sie kinit -k krbsvr400/[email protected] ein, um ein Ticket-granting Ticket vomKerberos-Server anzufordern. Mit diesem Befehl wird geprüft, ob Ihr System ordnungsgemäß konfigu-riert wurde und das Kennwort in der Chiffrierschlüsseldatei mit dem auf dem Kerberos-Server ge-speicherten Kennwort übereinstimmt. Wenn die Prüfung erfolgreich verläuft, dann werden für denBefehl kinit keine Fehler ausgegeben.

4. Geben Sie klist ein, um sicherzustellen, dass der Standard-Principal krbsvr400/[email protected] lautet. Mit diesem Befehl wird der Inhalt eines Kerberos-Caches fürBerechtigungsnachweise angezeigt und geprüft, ob ein gültiges Ticket für den IBM i-Service-Principalerstellt und in den Cache für Berechtigungsnachweise auf dem System aufgenommen wurde.

Ticket cache:FILE:/QIBM/USERDATA/OS400/NETWORKAUTHENTICATION/creds/krbcred

Default principal: krbsvr400/[email protected]

Server: krbtgt/[email protected] 200X/06/09-12:08:45 to 20XX/11/05-03:08:45

$

EIM-Kennungen für die beiden Administratoren John Day und Sharon Jones er-stellenBei der Konfiguration der Testumgebung für die Einzelanmeldung müssen Sie EIM-Kennungen für zweiIhrer Administratoren erstellen, damit sich beide mit ihren Windows-Benutzeridentitäten bei IBM i anmel-den können.

In diesem Szenario erstellen Sie zwei EIM-Kennungen, John Day und Sharon Jones. Führen Sie die fol-genden Schritte durch, um die EIM-Kennungen zu erstellen:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.3. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-

nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

4. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Öffnen aus.5. Klicken Sie mit der rechten Maustaste auf Kennungen und wählen Sie Neue Kennung aus.6. Geben Sie im Dialogfenster Neue EIM-Kennung im Feld Kennung John Day ein. Klicken Sie auf OK.7. Wiederholen Sie die Schritte 2 bis 6, geben Sie jedoch im Feld Kennung den Namen Sharon Jones ein.

Kennungszuordnungen für John Day erstellenSie müssen die entsprechenden Zuordnungen zwischen der EIM-Kennung, John Day, und den Benutzeri-dentitäten, die von der durch die Kennung angegebenen Person verwendet werden, erstellen. Die Ken-nungszuordnungen ermöglichen dem Benutzer, richtige Konfiguration vorausgesetzt, die Nutzung einerEinzelanmeldungsumgebung.

Netzwerkauthentifizierungsservice 67

Page 74: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

In diesem Szenario müssen Sie eine Quellenzuordnung und zwei Zielzuordnungen für die Kennung"John Day" erstellen:v Eine Quellenzuordnung für den Kerberos-Principal "jday", die Benutzeridentität, die John Day zur An-

meldung bei Windows und im Netzwerk verwendet. Die Quellenzuordnung bietet die Möglichkeit,den Kerberos-Principal einer anderen Benutzeridentität zuzuordnen als derjenigen, die in einer entspre-chenden Zielzuordnung definiert ist.

v Eine Zielzuordnung für das IBM i-Benutzerprofil JOHND, das der Benutzer John Day als Benutzeri-dentität zur Anmeldung beim IBM Navigator for i und anderen IBM i-Anwendungen auf System Averwendet. Die Zielzuordnung gibt an, dass eine Abgleichsuchoperation dieser Benutzeridentität zuge-ordnet werden kann, und zwar von einer anderen Benutzeridentität als der, die in einer Quellenzu-ordnung für dieselbe Kennung definiert wurde.

v Eine Zielzuordnung für das IBM i-Benutzerprofil DAYJO, das der Benutzer John Day als Benutzeriden-tität zur Anmeldung beim IBM Navigator for i und anderen IBM i-Anwendungen auf System B ver-wendet. Die Zielzuordnung gibt an, dass eine Abgleichsuchoperation dieser Benutzeridentität zugeord-net werden kann, und zwar von einer anderen Benutzeridentität als der, die in einerQuellenzuordnung für dieselbe Kennung definiert wurde.

Verwenden Sie die Informationen aus Ihren Arbeitsblättern, um die Zuordnungen zu erstellen:

Führen Sie die folgenden Schritte durch, um die Quellenzuordnung für den Kerberos-Principal von JohnDay zu erstellen:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.3. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-

nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

4. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Öffnen aus.5. Klicken Sie mit der rechten Maustaste auf Kennungen und wählen Sie Öffnen aus.6. Klicken Sie mit der rechten Maustaste auf John Day und wählen Sie Eigenschaften aus.7. Klicken Sie auf der Seite Zuordnungen auf Hinzufügen.8. Geben Sie im Dialogfenster Zuordnung hinzufügen Informationen an oder klicken Sie auf Durchsu-

chen, um die folgenden Informationen auszuwählen. Klicken Sie anschließend auf OK.v Register: MYCO.COMv Benutzer: jday

v Zuordnungsart: Quelle9. Klicken Sie auf OK, um das Dialogfenster Zuordnungen hinzufügen zu schließen.

Führen Sie die folgenden Schritte durch, um eine Zielzuordnung zum IBM i-Benutzerprofil von JohnDay auf System A zu erstellen:

10. Klicken Sie auf der Seite 'Zuordnungen' auf Hinzufügen.11. Geben Sie im Dialogfenster Zuordnung hinzufügen Informationen an, oder klicken Sie auf Durchsu-

chen, um die folgenden Informationen auszuwählen. Klicken Sie anschließend auf OK:a. Register: SYSTEMA.MYCO.COMb. Benutzer: JOHNDc. Zuordnungsart: Ziel

12. Klicken Sie auf OK, um das Dialogfenster Zuordnungen hinzufügen zu schließen.

68 IBM i: Netzwerkauthentifizierungsservice

Page 75: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Führen Sie die folgenden Schritte durch, um eine Zielzuordnung zum IBM i-Benutzerprofil von JohnDay auf System B zu erstellen:

13. Klicken Sie auf der Seite 'Zuordnungen' auf Hinzufügen.14. Geben Sie im Dialogfenster Zuordnung hinzufügen Informationen an, oder klicken Sie auf Durchsu-

chen, um die folgenden Informationen auszuwählen. Klicken Sie anschließend auf OK:a. Register: SYSTEMB.MYCO.COMb. Benutzer: DAYJOc. Zuordnungsart: Ziel

15. Klicken Sie auf OK, um das Dialogfenster Zuordnungen hinzufügen zu schließen.16. Klicken Sie auf OK, um das Dialogfenster Eigenschaften zu schließen.

Kennungszuordnungen für Sharon Jones erstellenSie müssen die entsprechenden Zuordnungen zwischen der EIM-Kennung, Sharon Jones, und den Benut-zeridentitäten, die von der durch die Kennung angegebenen Person verwendet werden, erstellen. DieseZuordnungen ermöglichen dem Benutzer, richtige Konfiguration vorausgesetzt, die Nutzung einer Einzel-anmeldungsumgebung.

In diesem Szenario müssen Sie eine Quellenzuordnung und zwei Zielzuordnungen für die Kennung "Sha-ron Jones" erstellen:v Eine Quellenzuordnung für den Kerberos-Principal "sjones", die Benutzeridentität, die Sharon Jones zur

Anmeldung bei Windows und im Netzwerk verwendet. Die Quellenzuordnung bietet die Möglichkeit,den Kerberos-Principal einer anderen Benutzeridentität zuzuordnen als derjenigen, die in einer entspre-chenden Zielzuordnung definiert ist.

v Eine Zielzuordnung für das IBM i-Benutzerprofil SHARONJ, das die Benutzerin Sharon Jones als Be-nutzeridentität zur Anmeldung beim System i Navigator und anderen IBM i-Anwendungen auf SystemA verwendet. Die Zielzuordnung gibt an, dass eine Abgleichsuchoperation dieser Benutzeridentität zu-geordnet werden kann, und zwar von einer anderen Benutzeridentität als der, die in einer Quellenzu-ordnung für dieselbe Kennung definiert wurde.

v Eine Zielzuordnung für das IBM i-Benutzerprofil JONESSH, das die Benutzerin Sharon Jones als Benut-zeridentität zur Anmeldung beim System i Navigator und anderen IBM i-Anwendungen auf System Bverwendet. Die Zielzuordnung gibt an, dass eine Abgleichsuchoperation dieser Benutzeridentität zuge-ordnet werden kann, und zwar von einer anderen Benutzeridentität als der, die in einer Quellenzu-ordnung für dieselbe Kennung definiert wurde.

Verwenden Sie die Informationen aus Ihren Arbeitsblättern, um die Zuordnungen zu erstellen:

Führen Sie die folgenden Schritte durch, um die Quellenzuordnung für den Kerberos-Principal von Sha-ron Jones zu erstellen:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.3. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-

nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

4. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Öffnen aus.5. Klicken Sie mit der rechten Maustaste auf Kennungen und wählen Sie Öffnen aus.6. Klicken Sie mit der rechten Maustaste auf Sharon Jones und wählen Sie Eigenschaften aus.

Netzwerkauthentifizierungsservice 69

Page 76: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

7. Klicken Sie auf der Seite Zuordnungen auf Hinzufügen.8. Geben Sie im Dialogfenster Zuordnung hinzufügen Informationen an oder klicken Sie auf Durchsu-

chen, um die folgenden Informationen auszuwählen. Klicken Sie anschließend auf OK.v Register: MYCO.COMv Benutzer: sjones

v Zuordnungsart: Quelle9. Klicken Sie auf OK, um das Dialogfenster Zuordnungen hinzufügen zu schließen.

Führen Sie die folgenden Schritte durch, um eine Zielzuordnung zum IBM i-Benutzerprofil von Sha-ron Jones auf System A zu erstellen:

10. Klicken Sie auf der Seite 'Zuordnungen' auf Hinzufügen.11. Geben Sie im Dialogfenster Zuordnung hinzufügen Informationen an, oder klicken Sie auf Durchsu-

chen, um die folgenden Informationen auszuwählen. Klicken Sie anschließend auf OK:a. Register: SYSTEMA.MYCO.COMb. Benutzer: SHARONJc. Zuordnungsart: Ziel

12. Klicken Sie auf OK, um das Dialogfenster Zuordnungen hinzufügen zu schließen.Führen Sie die folgenden Schritte durch, um eine Zielzuordnung zum IBM i-Benutzerprofil von Sha-ron Jones auf System B zu erstellen:

13. Klicken Sie auf der Seite 'Zuordnungen' auf Hinzufügen.14. Geben Sie im Dialogfenster Zuordnung hinzufügen Informationen an, oder klicken Sie auf Durchsu-

chen, um die folgenden Informationen auszuwählen. Klicken Sie anschließend auf OK:a. Register: SYSTEMB.MYCO.COMb. Benutzer: JONESSHc. Zuordnungsart: Ziel

15. Klicken Sie auf OK, um das Dialogfenster Zuordnungen hinzufügen zu schließen.16. Klicken Sie auf OK, um das Dialogfenster Eigenschaften zu schließen.

Standardrichtlinienzuordnungen für Register erstellenSie können Richtlinienzuordnungen verwenden, um Abgleiche direkt zwischen einer Gruppe von Benut-zern und einer einzelnen Zielbenutzeridentität zu erstellen.

Sie wollen, dass alle Microsoft Active Directory-Benutzer auf dem Windows-Server eine Zuordnung zumBenutzerprofil SYSUSERA auf System A und zum Benutzerprofil SYSUSERB auf System B erhalten. Indiesem Fall können Sie eine Standardrichtlinienzuordnung für Register erstellen, die alle Benutzeridenti-täten (für die keine Kennungszuordnungen vorhanden sind) im Kerberos-Register MYCO.COM einemeinzigen IBM i-Benutzerprofil auf System A zuordnet.

Sie benötigen zwei Richtlinienzuordnungen, um dieses Ziel zu erreichen. Jede Richtlinienzuordnung ver-wendet die Definition des Benutzerregisters MYCO.COM als Quelle der Zuordnung. Jede Richtlinienzu-ordnung ordnet jedoch abhängig davon, auf welche IBM i-Plattform der Kerberos-Benutzer zugreift, Be-nutzeridentitäten in diesem Register verschiedenen Zielbenutzeridentitäten zu.v Eine Richtlinienzuordnung ordnet die Kerberos-Principals im Benutzerregister MYCO.COM dem Ziel-

benutzer SYSUSERA im Zielregister SYSTEMA.MYCO.COM zu.v Die andere Richtlinienzuordnung ordnet die Kerberos-Principals im Benutzerregister MYCO.COM dem

Zielbenutzer SYSUSERB im Zielregister SYSTEMB.MYCO.COM zu.

Verwenden Sie die Informationen aus Ihren Arbeitsblättern, um zwei Standardrichtlinienzuordnungen fürRegister zu erstellen:

Bevor Sie Richtlinienzuordnungen verwenden können, müssen Sie zuerst die Domäne zur Verwendungvon Richtlinienzuordnungen für Abgleichsuchoperationen aktivieren.

70 IBM i: Netzwerkauthentifizierungsservice

Page 77: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Führen Sie die folgenden Schritte durch, um die Domäne zur Verwendung von Richtlinienzuordnungenfür Abgleichsuchoperationen zu aktivieren:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.3. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Abgleichrichtlinie

aus.4. Wählen Sie auf der Seite Allgemein die Option Abgleichsuchen mithilfe von Richtlinienzuordnun-

gen für Domäne MyCo-EIM-Domäne aktivieren aus.

Führen Sie die folgenden Schritte durch, um die Standardrichtlinienzuordnung für Register für die Benut-zer zu erstellen, die dem Benutzerprofil SYSUSERA auf System A zugeordnet werden sollen:1. Klicken Sie auf der Seite 'Register' auf Hinzufügen.2. Geben Sie im Dialogfenster Standardrichtlinienzuordnung für Register hinzufügen Informationen

an, oder klicken Sie auf Durchsuchen, um die folgenden Informationen auszuwählen. Klicken Sie an-schließend auf OK:a. Quellenregister: MYCO.COMb. Zielregister: SYSTEMA.MYCO.COMc. Zielbenutzer: SYSUSERB

3. Klicken Sie auf OK, um das Dialogfenster Abgleichrichtlinie zu schließen.

Führen Sie die folgenden Schritte durch, um die Standardrichtlinienzuordnung für Register für die Benut-zer zu erstellen, die dem Benutzerprofil SYSUSERB auf System B zugeordnet werden sollen:1. Klicken Sie auf der Seite 'Register' auf Hinzufügen.2. Geben Sie im Dialogfenster Standardrichtlinienzuordnung für Register hinzufügen Informationen

an, oder klicken Sie auf Durchsuchen, um die folgenden Informationen auszuwählen. Klicken Sie an-schließend auf OK:a. Quellenregister: MYCO.COMb. Zielregister: SYSTEMB.MYCO.COMc. Zielbenutzer: SYSUSERB

3. Klicken Sie auf OK, um das Dialogfenster Abgleichrichtlinie zu schließen.

Register für die Teilnahme an Suchoperationen und die Verwendung von Richtlini-enzuordnungen aktivierenWenn Sie Richtlinienzuordnungen für ein Register verwenden möchten, müssen Sie deren Verwendungfür das gegebene Register aktivieren und das Register für die Teilnahme an Suchoperationen aktivieren.

Mit EIM können Sie die Teilnahme der einzelnen Register an EIM steuern. Da eine Richtlinienzuordnungweitreichende Auswirkungen in einem Unternehmen haben kann, können Sie festlegen, ob sich Richtlini-enzuordnungen auf ein Register auswirken können. Außerdem können Sie festlegen, ob ein Registerüberhaupt an Abgleichsuchoperationen teilnehmen soll.

Führen Sie die folgenden Schritte durch, um Register für die Verwendung von Richtlinienzuordnungenund für die Teilnahme an Suchoperationen zu aktivieren:

Führen Sie die folgenden Schritte durch, um das Register MYCO.COM für die Teilnahme an Abgleichsu-choperationen zu aktivieren:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.

Netzwerkauthentifizierungsservice 71

Page 78: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

3. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

4. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Öffnen aus.5. Klicken Sie mit der rechten Maustaste auf Benutzerregister und wählen Sie Öffnen aus.6. Klicken Sie mit der rechten Maustaste auf MYCO.COM und wählen Sie Abgleichrichtlinie aus.7. Wählen Sie auf der Seite Allgemein die Option Abgleichsuchen für Register MYCO.COM aktivieren

aus. Klicken Sie auf OK.

Führen Sie die folgenden Schritte durch, um das Register SYSTEMA.MYCO.COM für die Teilnahme anAbgleichsuchoperationen und die Verwendung von Richtlinienzuordnungen zu aktivieren:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.3. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Öffnen aus.4. Klicken Sie mit der rechten Maustaste auf Benutzerregister und wählen Sie Öffnen aus.5. Klicken Sie mit der rechten Maustaste auf SYSTEMA.MYCO.COM und wählen Sie Abgleichrichtli-

nie aus.6. Wählen Sie auf der Seite Allgemein die Option Abgleichsuchen für Register SYSTEMA.MYCO-

.COM aktivieren und dann Richtlinienzuordnungen verwenden aus. Klicken Sie auf OK.

Wiederholen Sie diese Schritte, um das Register SYSTEMB.MYCO.COM für die Teilnahme an Abgleichsu-choperationen und die Verwendung von Richtlinienzuordnungen zu aktivieren, wählen Sie jedoch auf derSeite Allgemein die Option Abgleichsuchen für Register SYSTEMB.MYCO.COM aktivieren und dannRichtlinienzuordnungen verwenden aus. Klicken Sie auf OK.

Nachdem Sie nun die EIM-Konfiguration für Ihre Register und Benutzer abgeschlossen haben, sollten Siedie durchgeführten Abgleiche testen, um sicherzustellen, dass sie wie geplant funktionieren.

EIM-Identitätsabgleiche testenSie haben alle benötigten Zuordnungen erstellt und müssen jetzt sicherstellen, dass die EIM-Abgleichsu-choperationen basierend auf den konfigurierten Zuordnungen die richtigen Ergebnisse zurückgeben.

Bei diesem Szenario müssen Sie die Zuordnungen, die für die Kennungszuordnungen der einzelnen Ad-ministratoren verwendet werden, sowie die Zuordnungen, die für die Standardrichtlinienzuordnungenfür Register verwendet werden, testen. Führen Sie diese Schritte durch, um die EIM-Abgleiche zu testen:

Abgleiche für John Day testen

Gehen Sie wie folgt vor, um zu testen, ob die Kennungsabgleiche für John Day erwartungsgemäß funktio-nieren:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.3. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-

nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.

72 IBM i: Netzwerkauthentifizierungsservice

Page 79: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

4. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Abgleich testen aus.5. Geben Sie im Dialogfenster Abgleich testen Informationen an oder klicken Sie auf Durchsuchen, um

die folgenden Informationen auszuwählen:v Quellenregister: MYCO.COMv Quellenbenutzer: jdayv Zielregister: SYSTEMA.MYCO.COM

6. Klicken Sie auf Testen. Die Ergebnisse werden im Abschnitt Gefundener Abgleich der Seite wiefolgt angezeigt:

Für diese Felder Siehe diese Resultate

Zielbenutzer JOHND

Ursprung EIM-Kennung: John Day

7. Klicken Sie auf Schließen.8. Wiederholen Sie diese Schritte, wählen Sie jedoch für das Feld Zielregister die Auswahl

SYSTEMB.MYCO.COM aus. Die Ergebnisse werden im Abschnitt Gefundener Abgleich der Seite wie folgtangezeigt:

Für diese Felder Siehe diese Resultate

Zielbenutzer DAYJO

Ursprung EIM-Kennung: John Day

Abgleiche für Sharon Jones testen

Führen Sie die folgenden Schritte durch, um die Abgleiche, die für die einzelnen Zuordnungen fürSharon Jones verwendet werden, zu testen:

9. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >Alle Tasks > Enterprise Identity Mapping.

10. Klicken Sie auf Domänenverwaltung.11. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-

nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

12. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Abgleich testen aus.13. Geben Sie im Dialogfenster Abgleich testen Informationen an oder klicken Sie auf Durchsuchen, um

die folgenden Informationen auszuwählen:v Quellenregister: MYCO.COMv Quellenbenutzer: sjonesv Zielregister: SYSTEMA.MYCO.COM

14. Klicken Sie auf Testen. Die Ergebnisse werden im Abschnitt Gefundener Abgleich der Seite wiefolgt angezeigt:

Für diese Felder Siehe diese Resultate

Zielbenutzer SHARONJ

Netzwerkauthentifizierungsservice 73

Page 80: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Für diese Felder Siehe diese Resultate

Ursprung EIM-Kennung: Sharon Jones

15. Klicken Sie auf Schließen.16. Wiederholen Sie die Schritte 1 auf Seite 72 bis 15, wählen Sie jedoch für das Feld Zielregister den

Wert SYSTEMB.MYCO.COM aus. Die Ergebnisse werden im Abschnitt Gefundener Abgleich der Seitewie folgt angezeigt:

Für diese Felder Siehe diese Resultate

Zielbenutzer JONESSH

Ursprung EIM-Kennung: Sharon Jones

Für Standardrichtlinienzuordnung für Register verwendete Abgleiche testen

Führen Sie die folgenden Schritte durch, um zu testen, ob die Abgleiche für die Benutzer in der Auf-tragsannahmeabteilung basierend auf den von Ihnen definierten Richtlinienzuordnungen erwar-tungsgemäß funktionieren:

17. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >Alle Tasks > Enterprise Identity Mapping.

18. Klicken Sie auf Domänenverwaltung.19. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-

nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

20. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Abgleich testen aus.21. Geben Sie im Dialogfenster Abgleich testen Informationen an, oder klicken Sie auf Durchsuchen,

um die folgenden Informationen auszuwählen. Klicken Sie anschließend auf Test:a. Quellenregister: MYCO.COMb. Quellenbenutzer: mmillerc. Zielregister: SYSTEMA.MYCO.COM

Die Ergebnisse werden im Abschnitt Gefundener Abgleich der Seite wie folgt angezeigt:

Für diese Felder Siehe diese Resultate

Zielbenutzer SYSUSERA

Ursprung Richtlinienzuordnung für Register

22. Klicken Sie auf Schließen.

Führen Sie die folgenden Schritte durch, um die Abgleiche zu testen, die für die Standardrichtlinienzu-ordnung für Register verwendet werden, mit der Ihre Benutzer dem Profil SYSUSERB auf System B zuge-ordnet werden:1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Sicherheit >

Alle Tasks > Enterprise Identity Mapping.2. Klicken Sie auf Domänenverwaltung.3. Sie müssen eine Verbindung zur Domäne herstellen, um Aktionen in der Domäne ausführen zu kön-

nen. Wenn Sie noch nicht mit dem Domänencontroller verbunden sind, klicken Sie mit der rechtenMaustaste auf MyCo-EIM-Domäne und wählen Sie anschließend Verbinden aus. Geben Sie die fol-genden Informationen ein und klicken Sie auf OK.

74 IBM i: Netzwerkauthentifizierungsservice

Page 81: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Benutzerart: Registrierter Name

v Registrierter Name: cn=Administratorv Kennwort: mycopwd

4. Klicken Sie mit der rechten Maustaste auf MyCo-EIM-Domäne und wählen Sie Abgleich testen aus.5. Geben Sie im Dialogfenster Abgleich testen Informationen an, oder klicken Sie auf Durchsuchen, um

die folgenden Informationen auszuwählen. Klicken Sie anschließend auf Test:a. Quellenregister: MYCO.COMb. Quellenbenutzer: ksmithc. Zielregister: SYSTEMB.MYCO.COMDie Ergebnisse werden im Abschnitt Gefundener Abgleich der Seite wie folgt angezeigt:

Für diese Felder Siehe diese Resultate

Zielbenutzer SYSUSERB

Ursprung Richtlinienzuordnung für Register

6. Klicken Sie auf Schließen. Wenn Sie Nachrichten bzw. Fehlernachrichten empfangen, die auf Proble-me mit den Abgleichen oder der Übertragung hinweisen, lesen Sie Fehlerbehebung für EIM, um Lö-sungen für diese Probleme zu finden.

IBM i Access Client Solutions-Anwendungen für den Einsatz der Kerberos-Authen-tifizierung konfigurierenBasierend auf Ihren Zielen für die Einzelanmeldung müssen alle Benutzer in der Auftragsannahmeabtei-lung die Kerberos-Authentifizierung durchführen, bevor sie auf IBM i Access Client Solutions-Anwen-dungen auf System A und B zugreifen können. Aus diesem Grund müssen Sie IBM i Access Client Solu-tions für die Kerberos-Authentifizierung konfigurieren.

Führen Sie die folgenden Schritte durch, um IBM i Access Client Solutions-Anwendungen für die Ver-wendung der Kerberos-Authentifizierung zu konfigurieren:

Anmerkung: Jeder Ihrer Benutzer muss alle diese Schritte auf seinem eigenen PC durchführen.1. Melden Sie sich an der Windows-Domäne an, indem Sie sich an Ihrem PC anmelden.2. Wählen Sie in IBM i Access Client Solutions auf Ihrem PC Aktionen > Verwaltung > Systemkonfigu-

rationen aus.3. Wählen Sie auf der Seite Systemkonfiguration den Eintrag für System A aus und klicken Sie auf Be-

arbeiten.4. Wählen Sie auf der Registerkarte Verbindung den Eintrag für Kerberos-Authentifizierung verwen-

den, keine Anforderung aus. Klicken Sie auf OK. Somit können IBM i Access Client Solutions-Verbin-dungen den Namen und das Kennwort des Kerberos-Principals für die Authentifizierung verwenden.

5. Klicken Sie auf der Seite 'Systemkonfiguration' auf Schließen.6. Wiederholen Sie diese Schritte für System B.

Netzwerkauthentifizierungsservice und EIM-Konfiguration überprüfenSie haben die einzelnen Abschnitte der Konfiguration der Einzelanmeldung überprüft und sichergestellt,dass die gesamte Konfiguration vollständig ist. Jetzt müssen Sie überprüfen, ob EIM und der Netz-werkauthentifizierungsservice ordnungsgemäß konfiguriert wurden und die Einzelanmeldung erwar-tungsgemäß funktioniert.

Anmerkung: Wenn Sie den 5250-Emulator in IBM i Access Client Solutions mit Kerberos-Authentifizie-rung verwenden, müssen Sie den Systemwert für Ferne Anmeldung (QRMTSIGN) in *VERIFY ändern,damit Sie die Anmeldung umgehen können. Gehen Sie folgendermaßen vor, um den Systemwert für Fer-ne Anmeldung zu ändern:

Netzwerkauthentifizierungsservice 75

Page 82: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

1. Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Konfigurati-on und Service.

2. Klicken Sie auf Systemwerte.3. Klicken Sie mit der rechten Maustaste auf Anmelden und wählen Sie Eigenschaften aus.4. Wählen Sie auf der Seite 'Fern' die Einträge Umgehen der Anmeldung zulassen und Benutzer-ID auf

Zielsystem überprüfen aus und klicken Sie auf OK.5. Wiederholen Sie diese Schritte auf System B.

Lassen Sie den Benutzer John Day die folgenden Schritte durchführen, um zu überprüfen, ob die Umge-bung für die Einzelanmeldung ordnungsgemäß funktioniert:1. In IBM i Access Client Solutions:

a. Wählen Sie im Pulldown-Menü System die Option System A aus.b. Erweitern Sie Allgemein und klicken Sie auf 5250-Emulator, um eine Verbindung zu System A zu

öffnen.2. Für System A wird eine Emulatorsitzung gestartet, ohne dass Anmeldeanzeigen erscheinen. Um si-

cherzustellen, dass die Sitzung unter JOHND (das IBM i-Benutzerprofil von John Day) angemeldet ist,geben Sie den Befehl DSPJOB in der Emulatorsitzung ein und überprüfen Sie, ob JOHND im Feld BE-NUTZER: angezeigt wird.

Anmerkung: Die 5250-Emulatorsitzung in IBM i Access Client Solutions konnte mithilfe von EIM eineZuordnung zwischen dem Kerberos-Principal jday und dem Benutzerprofil JOHND auf System A her-stellen, weil für die EIM-Kennung John Day entsprechende Zuordnungen definiert wurden. Die Ver-bindung der Emulatorsitzung für System A arbeitet nun unter dem Namen JOHND.

3. Lassen Sie die Benutzerin Sharon Jones die folgenden Schritte durchführen:4. In IBM i Access Client Solutions:

a. Wählen Sie im Pulldown-Menü System die Option System A aus.b. Erweitern Sie Allgemein und klicken Sie auf 5250-Emulator, um eine Verbindung zu System A zu

öffnen.5. Für System A wird eine Emulatorsitzung gestartet, ohne dass Anmeldeanzeigen erscheinen. Um si-

cherzustellen, dass die Sitzung unter SHARONJ (das IBM i-Benutzerprofil von Sharon Jones) angemeldetist, geben Sie den Befehl DSPJOB in der Emulatorsitzung ein und überprüfen Sie, ob SHARONJ im FeldBENUTZER: angezeigt wird.

Anmerkung: Die 5250-Emulatorsitzung in IBM i Access Client Solutions konnte mithilfe von EIM eineZuordnung zwischen dem Kerberos-Principal sjones und dem Benutzerprofil SHARONJ auf System Aherstellen, weil für die EIM-Kennung Sharon Jones entsprechende Zuordnungen definiert wurden. DieVerbindung der Emulatorsitzung für System A arbeitet nun unter dem Namen SHARONJ.

Hinweise zur KonfigurationsnachbereitungDie Anzahl der zusätzlichen Benutzer, die Sie definieren, ist davon abhängig, in welchem Maße die Si-cherheitsstrategie eine Trennung von Sicherheitsaufgaben und Verantwortlichkeiten für die Sicherheit vor-sieht.

Nach Durchführung des Szenarios ist der registrierte Name (DN) für den LDAP-Administrator der einzi-ge EIM-Benutzer, den Sie definiert haben und der von EIM verwendet werden kann. Der registrierteName des LDAP-Administrators, den Sie für den Systembenutzer auf System A und System B angegebenhaben, besitzt eine hohe Berechtigungsstufe für alle Daten auf dem Directory-Server. Daher möchten Siemöglicherweise einen oder mehrere registrierte Namen als zusätzliche Benutzer erstellen, für die Zugriffs-berechtigungen für EIM-Daten definiert sind, die besser an die geltenden Anforderungen angepasst undeingeschränkt sind. Normalerweise werden mindestens zwei der folgenden Arten von registrierten Na-men erstellt:v Ein Benutzer mit EIM-Administratorrechten

76 IBM i: Netzwerkauthentifizierungsservice

Page 83: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Der registrierte Name des EIM-Administrators stellt die richtige Berechtigungsstufe für einen Administ-rator bereit, der für die Verwaltung der EIM-Domäne verantwortlich ist. Mit diesem registrierten Na-men des EIM-Administrators kann eine Verbindung zum Domänencontroller hergestellt werden, wennalle Aspekte der EIM-Domäne mit dem IBM Navigator for i verwaltet werden.

v Mindestens ein Benutzer, der alle folgenden Zugriffsberechtigungen besitzt:– Kennungsadministrator– Registeradministrator– EIM-Abgleichoperationen

Dieser Benutzer besitzt die richtige Zugriffsberechtigungsstufe, die der Systembenutzer benötigt, derEIM-Operationen für das Betriebssystem ausführt.

Anmerkung: Wenn Sie diesen neuen registrierten Namen des Systembenutzers an Stelle des registriertenNamens des LDAP-Administrators verwenden, müssen Sie die Eigenschaften der EIM-Konfiguration fürjedes System ändern. Für dieses Szenario müssen Sie die Eigenschaften der EIM-Konfiguration sowohlfür System A als auch für System B ändern. Informationen zur Änderung des registrierten Namens desSystembenutzers finden Sie in den Informationen zur Verwaltung der Eigenschaften der EIM-Konfigurati-on.Zugehörige Konzepte:EIM-ZugriffssteuerungIBM Directory Server for IBM i (LDAP)Zugehörige Tasks:EIM-Konfigurationseigenschaften verwalten

Netzwerkauthentifizierungsservice planenBevor Sie den Netzwerkauthentifizierungsservice oder eine Kerberos-Lösung auf Ihrem Netzwerk imple-mentieren können, müssen Sie die erforderlichen Planungsaufgaben durchführen.

Um die Verwendung des Netzwerkauthentifizierungsservice und eine Kerberos-Implementierung zu pla-nen, müssen Sie zunächst die entsprechenden Informationen über die Systeme und Benutzer Ihres Netz-werks zusammenstellen. Es stehen Ihnen mehrere Planungsarbeitsblätter zur Verfügung, die Ihnen bei derKonfiguration des Netzwerkauthentifizierungsservice in Ihrem Netzwerk helfen sollen.

Anmerkung: Es gibt zahlreiche unterschiedliche Kerberos-Authentifizierungslösungen, die in Ihrem Un-ternehmen eingesetzt werden können. Die nachfolgenden Informationen beziehen sich schwerpunktmäßigauf die Planung einer IBM i-Implementierung und die Faktoren, die berücksichtigt werden müssen, wennSie den Netzwerkauthentifizierungsservice mit einem Kerberos-Server verwenden wollen, der unter Mi-crosoft Active Directory oder PASE für i konfiguriert ist.

Die folgenden IBM Systeme unterstützen die Kerberos-Authentifizierung. Informationen über plattform-spezifische Kerberos-Implementierungen finden Sie in den folgenden Quellen:v System p

– IBM Network Authentication Service AIX, Linux, and Solaris Administrator's and User's Guide.– IBM Network Authentication Service AIX, Linux, and Solaris Application Development Reference.

Anmerkung: Die genannten Dokumentationen finden Sie auf der CD AIX 5L Expansion Pack and

Bonus Pack .v System z

– z/OS Security Server Network Authentication Service Administration

Die folgenden Tasks unterstützen Sie bei der Planung des Netzwerkauthentifizierungsservice.

Netzwerkauthentifizierungsservice 77

Page 84: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Kerberos-Server planenSie können den Einsatz eines Kerberos-Servers abhängig vom verwendeten Betriebssystem planen.

Ein Kerberos-Server, der auch als KDC (Key Distribution Center - Instanz zur Schlüsselverwaltung) be-zeichnet wird, unterhält eine Datenbank mit Principals und deren Kennwörtern. Ein Kerberos-Server be-steht aus dem Authentifizierungsserver und dem Ticket-granting Server. Wenn sich ein Principal bei ei-nem Kerberos-Netzwerk anmeldet, prüft der Authentifizierungsserver den Principal und stellt ihm einTicket-granting Ticket aus. Wenn Sie planen, die Kerberos-Authentifizierung zu verwenden, müssen Sieentscheiden, welches System als Kerberos-Server konfiguriert werden soll.

Anmerkung: Die Informationen über den Netzwerkauthentifizierungsservice betreffen in erster Linie Ker-beros-Server, die entweder in PASE für i oder auf einem Windows-Server ausgeführt werden. Wenn nichtanders angegeben, wird bei den meisten Szenarios und Beispielen vorausgesetzt, dass ein Windows-Ser-ver als Kerberos-Server definiert wurde. Wenn Sie ein anderes Betriebssystem oder Anwendungen einesanderen Herstellers für die Kerberos-Authentifizierung benutzen, ziehen Sie die entsprechende Dokumen-tation zu Rate.Die folgende Liste enthält nähere Angaben zur Kerberos-Serverunterstützung der drei wichtigsten Be-triebssysteme:

Microsoft Windows und Windows-ServerSowohl Microsoft Windows als auch Windows-Server unterstützen die Kerberos-Authentifizie-rung als Standardsicherheitsmechanismus. Wenn Administratoren Benutzer und Services über dasMicrosoft Active Directory hinzufügen, erstellen sie eigentlich Kerberos-Principals für diese Be-nutzer und Services. Wenn sich Windows oder ein Windows-Server in Ihrem Netzwerk befindet,dann ist in diesem Betriebssystem bereits ein Kerberos-Server integriert.

AIX und PASE für iSowohl AIX als auch PASE für i unterstützen einen Kerberos-Server über den Befehl kadmin. Ad-ministratoren müssen die PASE-Umgebung aufrufen (durch Eingabe von call QP2TERM), um denPASE-Kerberos-Server zu konfigurieren und zu verwalten. PASE für i stellt eine Laufzeitumge-bung für AIX-Anwendungen wie beispielsweise einen Kerberos-Server zur Verfügung. Die folgen-den Dokumentationen können Ihnen bei der Konfiguration und Verwaltung eines Kerberos-Servers in AIX helfen.v IBM Network Authentication Service AIX, Linux, and Solaris Administrator's and User's Guide

v IBM Network Authentication Service AIX, Linux, and Solaris Application Development Reference

Anmerkung: Die genannten Dokumentationen finden Sie auf der CD AIX 5L Expansion Pack

and Bonus Pack .

z/OS Security Server Network Authentication Service für z/OS ist das IBM z/OS-Programm, das aufKerberos Version 5 basiert. Network Authentication Service für z/OS stellt Kerberos-Sicherheits-services zur Verfügung; ein Middlewareprogramm ist dafür nicht erforderlich. Diese Services un-terstützen einen nativen Kerberos-Server. z/OS Security Server Network Authentication Service

Administration enthält nähere Informationen über die Konfiguration und Verwaltung einesz/OS-Kerberos-Servers.

Unabhängig davon, welches Betriebssystem den Kerberos-Server zur Verfügung stellt, müssen Sie die Ser-ver-Ports für den Kerberos-Server bestimmen, den Zugriffsschutz für den Kerberos-Server bereitstellenund sicherstellen, dass die Systemzeiten von Clients und Kerberos-Server synchronisiert sind.

Server-Ports bestimmenDer Netzwerkauthentifizierungsservice verwendet standardmäßig Port 88 für den Kerberos-Ser-ver. In den Konfigurationsdateien des Kerberos-Servers können aber auch andere Ports angegebenwerden. Verifizieren Sie die Portnummer in den Kerberos-Konfigurationsdateien auf dem Kerbe-ros-Server.

78 IBM i: Netzwerkauthentifizierungsservice

Page 85: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Zugriffsschutz für Kerberos-Server bereitstellenDer Kerberos-Server muss sich auf einem sicheren dedizierten System befinden, um sicherzuge-hen, dass kein Unbefugter auf die Datenbank mit den Principals und Kennwörtern zugreift. Be-nutzer sollten nur begrenzten Zugriff auf den Kerberos-Server haben. Wenn das System, auf demsich der Kerberos-Server befindet, außerdem noch für andere Zwecke verwendet wird (z. B. alsWeb- oder FTP-Server), könnte jemand Sicherheitslücken in diesen Anwendungen ausnutzen, umZugriff auf die Datenbank zu erlangen, die auf dem Kerberos-Server gespeichert ist. Für einenKerberos-Server im Microsoft Active Directory kann wahlweise ein Kennwortserver konfiguriertwerden, mit dessen Hilfe Principals ihre eigenen Kennwörter, die auf dem Kerberos-Server ge-speichert sind, verwalten und aktualisieren können. Wenn Sie einen Kerberos-Server in PASE für ikonfiguriert haben und IBM i nicht für die Kerberos-Authentifizierung dedizieren können, solltenSie sich vergewissern, dass nur Ihr Administrator Zugriff auf die Kerberos-Konfiguration hat.

Systemzeiten synchronisierenDie Kerberos-Authentifizierung setzt voraus, dass die Systemzeiten synchronisiert sind. Kerberosweist alle Authentifizierungsanforderungen von einem System oder Client zurück, dessen Sys-temzeit nicht innerhalb der angegebenen maximalen Zeitabweichung des Kerberos-Servers liegt.Da jedes Ticket die Uhrzeit beinhaltet, zu der es an einen Principal gesendet wurde, können Ha-cker ein und dasselbe Ticket nicht zu einem späteren Zeitpunkt erneut senden, um sich auf dieseWeise unbefugt für das Netzwerk zu authentifizieren. IBM i weist Tickets von einem Kerberos-Server ebenfalls zurück, wenn sich dessen Uhrzeit nicht innerhalb der maximalen Zeitabwei-chung befindet, die bei der Konfiguration des Netzwerkauthentifizierungsservice festgelegt wur-de. Der Standardwert für die maximale Zeitabweichung beträgt 300 Sekunden (fünf Minuten). Beider Konfiguration des Netzwerkauthentifizierungsservice wird die maximale Zeitabweichung aufdiesen Standardwert gesetzt; wenn nötig, kann dieser Wert jedoch geändert werden. Es wirdempfohlen, für diesen Wert nicht mehr als 300 Sekunden anzugeben. Nähere Informationen überdas Arbeiten mit Systemzeiten finden Sie unter „Systemzeiten synchronisieren” auf Seite 103.

Tabelle 18. Beispiel eines Planungsarbeitsblatts für Kerberos-Server. Dieses Planungsarbeitsblatt ist ein Beispiel da-für, wie ein Administrator den Kerberos-Server für ein Netzwerk geplant haben könnte.

Fragen Antworten

Unter welchem Betriebssystem soll der Kerberos-Serverkonfiguriert werden?

v Windows-Server

v AIX-Server

v PASE für i (V5R4 oder höher)

v z/OS

IBM Portable Application Solutions Environment für i(PASE)

Wie lautet der vollständig qualifizierte Domänennamefür den Kerberos-Server?

systema.myco.com

Sind die Systemzeiten der PCs und Systeme, die mit demKerberos-Server verbunden sind, synchronisiert? Wiehoch ist die maximale Zeitabweichung?

Ja; 300 Sekunden.

Soll ich das Produkt Network Authentication Enablement(5770-NAE) installieren?

Ja, wenn Sie die Konfiguration eines Kerberos-Serversunter PASE für i auf einem IBM i-System mit 5.4 odereiner höheren Version planen.

Realms planenDie genaue Kenntnis der Abläufe Ihres Unternehmens vereinfacht die Planung der in der verwendetenUmgebung einzusetzenden Realms.

Im Kerberos-Protokoll bestehen Realms aus mehreren Maschinen und Services, die einen einzigen Au-thentifizierungsserver verwenden, der als Kerberos-Server oder KDC (Key Distribution Center - Instanzzur Schlüsselverteilung) bezeichnet wird. Realms werden einzeln verwaltet. Die Anwendungen und Ser-

Netzwerkauthentifizierungsservice 79

Page 86: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

vices innerhalb eines Realms dienen normalerweise dem gleichen Verwendungszweck. Die Beantwortungder folgenden allgemeinen Fragen kann Ihnen bei der Planung von Realms in Ihrem Unternehmen helfen:

Wie groß ist meine derzeitige Umgebung?Die Größe Ihrer Umgebung bestimmt die Anzahl der benötigten Realms. In einem größeren Un-ternehmen können Sie die Einrichtung mehrerer Realms in Betracht ziehen, die auf Organisations-einheiten oder der Verwendungsweise bestimmter Systeme innerhalb des Unternehmens basieren.Sie können beispielsweise Realms für verschiedene Abteilungen in Ihrem Unternehmen einrich-ten, wie etwa die Personalabteilung, den Kundenservice oder die Versandabteilung. Sie könnenaußerdem Realms für eine Gruppe von Systemen oder Services erstellen, die ähnliche Funktionenausführen. Kleinere Unternehmen benötigen normalerweise nur einen oder zwei Realms.

Welches Wachstum erwarte ich für meine Umgebung?Wenn Ihre Planung ein rasches Anwachsen des Unternehmens vorsieht, könnten Sie mehrere Re-alms einrichten, die kleinere Organisationseinheiten innerhalb Ihres Unternehmens repräsentieren.Wenn Sie ein geringeres Wachstum erwarten, können Sie nur einen oder zwei Realms definieren,die auf der derzeitigen Unternehmensgröße basieren.

Wie viele Administratoren werden für die Verwaltung dieser Realms benötigt?Unabhängig von der Größe Ihres Unternehmens müssen Sie sicherstellen, dass Sie über genügendgeschultes Personal für die Einrichtung und Verwaltung der benötigten Realms verfügen.

Realms benennen

Entsprechend den Konventionen des Kerberos-Protokolls stimmen Realm-Namen mit dem Domänenna-men überein, werden jedoch normalerweise in Großbuchstaben angegeben, wie beispielsweise MYCO-.COM. In Netzwerken mit mehreren Realms können Sie einen Realm-Namen erstellen, der einen beschrei-benden Namen und den Domänennamen in Großbuchstaben beinhaltet. Beispiel: Sie könnten die beidenRealms HR.MYCO.COM und SHIPPING.MYCO.COM eingerichtet haben, die jeweils eine bestimmte Ab-teilung in Ihrem Unternehmen repräsentieren.

Die Verwendung von Großbuchstaben ist nicht immer erforderlich. Bei einigen Kerberos-Implementierun-gen ist die Beachtung dieser Konvention jedoch zwingend vorgeschrieben. So sind beispielsweise für Re-alm-Namen in einem Microsoft Active Directory Großbuchstaben zwingend erforderlich. Wenn Sie denNetzwerkauthentifizierungsservice auf der IBM i-Plattform zur Nutzung eines Kerberos-Realms konfigu-rieren, der im Microsoft Active Directory konfiguriert ist, müssen Sie den Realm-Namen in Großbuchsta-ben eingeben.

Für einen Kerberos-Server, der in IBM i PASE konfiguriert ist, können Sie Realm-Namen in Groß- oderKleinbuchstaben erstellen. Wenn Sie jedoch den Aufbau einer Vertrauensbeziehung zwischen einem Ker-beros-Server, der im Microsoft Active Directory konfiguriert ist, und einem Kerberos-Server, der in IBM iPASE konfiguriert ist, planen, müssen die Realm-Namen in Großbuchstaben eingegeben werden.

Tabelle 19. Beispiel eines Planungsarbeitsblatts für Kerberos-Realms

Fragen Antworten

Wie viele Realms werden benötigt? Zwei

Wie sollen die Realms organisiert werden? Derzeit verfügt das Unternehmen über einen Windows-Server, der Benutzer in der Auftragsannahmeabteilungauthentifiziert. Die Versandabteilung verwendet einenKerberos-Server in IBM i PASE. Jede Abteilung soll Ihreneigenen Realm erhalten.

Welche Benennungskonvention soll für Realms gelten? Es wird ein Kurzname für die Abteilung in Großbuchsta-ben gefolgt vom Windows-Domänennamen in Großbuch-staben verwendet. ORDEPT.MYCO.COM stehtbeispielsweise für die Auftragsannahmeabteilung undSHIPDEPT.MYCO.COM für die Versandabteilung.

80 IBM i: Netzwerkauthentifizierungsservice

Page 87: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Principal-Namen planenPrincipals sind Namen von Benutzern oder Services in einem Kerberos-Netzwerk. Principal-Namen set-zen sich aus dem Benutzer- oder Servicenamen und dem Namen des Realms zusammen, zu dem der Be-nutzer oder Service gehört.

Wenn Mary Jones den Realm MYCO.COM verwendet, dann könnte ihr [email protected] lauten. Mary Jones verwendet diesen Principal-Namen und das zugehörige Kenn-wort, um von einem zentralisierten Kerberos-Server authentifiziert zu werden. Alle Principals werdendem Kerberos-Server hinzugefügt, auf dem eine Datenbank mit allen Benutzern und Services innerhalbeines Realms geführt wird.

Principal-Namen sollten auf der Grundlage einer konsistenten Benennungskonvention zugeordnet wer-den, die sowohl aktuelle als auch zukünftige Benutzer berücksichtigt. Richten Sie sich bei der Festlegungeiner Benennungskonvention für Ihre Principals nach folgenden Vorschlägen:v Nachname und Anfangsbuchstabe des Vornamensv Anfangsbuchstabe des Vornamens und vollständiger Nachnamev Vorname und Anfangsbuchstabe des Nachnamensv Anwendungs- oder Servicenamen mit Kenn-Nummern, wie beispielsweise database1

IBM i-Principal-Namen

Bei der Konfiguration des Netzwerkauthentifizierungsservice auf IBM i-Plattformen können die Principal-Namen wahlweise erstellt werden. Jeder dieser Principals repräsentiert Services, die unter dem Betriebs-system IBM i implementiert sind. Bei der Konfiguration des Netzwerkauthentifizierungsservice wird fürjeden erstellten Service-Principal ein Chiffrierschlüsseltabelleneintrag auf dem System erstellt. In diesemEintrag werden der bei der Konfiguration angegebene Name und das verschlüsselte Kennwort des Ser-vice-Principals gespeichert. Beachten Sie unbedingt, dass alle IBM i-Service-Principals dem Kerberos-Ser-ver hinzugefügt werden müssen, nachdem der Netzwerkauthentifizierungsservice konfiguriert wurde.Die Methoden, die zum Hinzufügen von IBM i-Principals zum Kerberos-Server verwendet werden, rich-ten sich danach, welcher Kerberos-Server in Ihrem Unternehmen konfiguriert wurde. Die Vorgehensweisebeim Hinzufügen eines IBM i-Principal-Namens zu einer Windows-Domäne oder einem Kerberos-Serverin PASE für i wird unter „IBM i-Principals zum Kerberos-Server hinzufügen” auf Seite 98 erläutert. ImFolgenden werden alle IBM i-Service-Principals beschrieben, die bei der Konfiguration des Netzwerkau-thentifizierungsservice erstellt werden:

IBM i-Kerberos-AuthentifizierungWenn Sie einen Chiffrierschlüsseleintrag für die IBM i-Kerberos-Authentifizierung erstellen möch-ten, wird der Service-Principal in einem der folgenden Formate in der Chiffrierschlüsseldatei er-stellt: krbsvr400/IBM i vollständig qualifizierter Domänenname@REALM NAME oder krbsvr400/IBMi Hostname@REALM NAME. Ein gültiger Service-Principal für die IBM i-Kerberos-Authentifizie-rung lautet beispielsweise krbsvr400/[email protected] oder krbsvr400/[email protected]. IBM i generiert den Principal auf der Basis des Hostnamens, der entwederauf dem DNS-Server oder auf der IBM i-Plattform festgestellt werden kann. Welcher Hostnameverwendet wird, hängt von der Konfiguration der Hostnamenauflösung auf der IBM i-Plattformab.

Der Service-Principal wird für verschiedene IBM i-Schnittstellen wie QFileSrv.400, Telnet, Distri-buted Relational Database Architecture (DRDA) und IBM i NetServer verwendet. Für jede dieserAnwendungen können zusätzliche Konfigurationsschritte zur Aktivierung der Kerberos-Authenti-fizierung erforderlich sein.

LDAP Außer dem IBM i-Service-Principal-Namen können während der Konfiguration des Netzwerkau-thentifizierungsservice zusätzliche Service-Principals für IBM Tivoli Directory Server for IBM i(LDAP) konfiguriert werden. Der LDAP-Principal-Name lautet ldap/IBM i vollständig qualifizierter

Netzwerkauthentifizierungsservice 81

Page 88: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Domänenname@REALM NAME. Ein gültiger LDAP-Principal-Name wäre beispielsweise ldap/[email protected]. Dieser Principal-Name bezeichnet den Directory-Server, dersich auf dieser IBM i-Plattform befindet.

Anmerkung: In früheren Releases erstellte der Assistent für den Netzwerkauthentifizierungsser-vice einen Chiffrierschlüsseleintrag in Großschreibung für den LDAP-Service. Wenn Sie denLDAP-Principal bereits zuvor konfiguriert haben und den Netzwerkauthentifizierungsservice er-neut konfigurieren oder über die EIM-Schnittstelle auf den Assistenten zugreifen, werden Sie auf-gefordert, für den Principal-Namen Kleinbuchstaben zu verwenden.

Wenn Sie planen, die Kerberos-Authentifizierung für den Directory-Server zu verwenden, müssenSie nicht nur den Netzwerkauthentifizierungsservice konfigurieren, sondern auch die Eigenschaf-ten des Directory-Servers so ändern, dass die Kerberos-Authentifizierung akzeptiert wird. Wenndie Kerberos-Authentifizierung verwendet wird, ordnet der Directory-Server dem Kerberos-Prin-cipal-Namen den registrierten Namen (DN) des Servers zu. Für die Zuordnung des Server-DNkönnen Sie eine der folgenden Methoden auswählen:v Der Server kann einen DN auf der Basis des Kerberos-Principal-Namens erstellen. Wenn Sie

sich für diese Möglichkeit entscheiden, generiert eine Kerberos-Identität im Formatprincipal@realm einen DN im Format ibm-kn=principal@realm. ibm-kn= ist äquivalent zuibm-kerberosName=.

v Der Server kann das Verzeichnis nach einem registrierten Namen (DN) durchsuchen, der einenEintrag für den Kerberos-Principal und -Realm enthält. Wenn Sie sich für diese Möglichkeitentscheiden, durchsucht der Server das Verzeichnis nach einem Eintrag mit dieser Kerberos-Identität.

Nähere Informationen über die Konfiguration der Kerberos-Authentifizierung für den Directory-Server finden Sie unter IBM Tivoli Directory Server for IBM i (LDAP).

HTTP-ServerAußer dem IBM i-Service-Principal-Namen können während der Konfiguration des Netzwerkau-thentifizierungsservice zusätzliche Service-Principals für den HTTP-Server (powered by Apache)konfiguriert werden. Der HTTP-Principal-Name lautet HTTP/IBM i vollständig qualifizierterDomänenname@REALM NAME. Dieser Principal-Name bezeichnet die HTTP-Server-Instanzen aufder IBM i-Plattform, die Kerberos für die Authentifizierung von Webbenutzern verwenden. Umdie Kerberos-Authentifizierung für eine HTTP-Server-Instanz anwenden zu können, sind außer-dem weitere Konfigurationsschritte für den HTTP-Server erforderlich.

Auf der Homepage für die HTTP Server for IBM i: documentation finden Sie Informationenzur Verwendung der Kerberos-Authentifizierung für den HTTP-Server.

IBM i NetServerFür IBM i NetServer können Sie ebenfalls mehrere NetServer-Principals erstellen, die automatischder Chiffrierschlüsseldatei auf der IBM i-Plattform hinzugefügt werden. Jeder dieser NetServer-Principals repräsentiert alle potenziellen Clients, die Sie für die Verbindung mit NetServer ver-wenden. Die folgende Tabelle enthält die NetServer-Principal-Namen und die zugehörigen Cli-ents.

Tabelle 20. IBM i NetServer-Principal-Namen

Clientverbindung IBM i NetServer-Principal-Name

Windows cifs/IBM i vollständig qualifizierter Domänennamecifs/IBM i Hostnamecifs/Q IBM i Hostnamecifs/q IBM i Hostnamecifs/IP-Adresse

Weitere Informationen über die Verwendung der Kerberos-Authentifizierung für diese Anwen-dung finden Sie unter IBM i NetServer.

82 IBM i: Netzwerkauthentifizierungsservice

Page 89: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

NFS-ServerAußer dem IBM i-Service-Principal-Namen können Sie während der Konfiguration des Netz-werkauthentifizierungsservice einen NFS-Server (Network File System) konfigurieren. Der NFS-Principal-Name lautet nfs/IBM i vollständig qualifizierter Domänenname@REALM NAME. Ein gülti-ger Principal-Name für den NFS-Server wäre beispielsweise nfs/[email protected].

Beispiel eines Planungsarbeitsblatts

Tabelle 21. Beispiel eines Planungsarbeitsblatts für Principals

Fragen Antworten

Welche Benennungskonvention soll für Kerberos-Principals verwendet werden, die Benutzer in IhremNetzwerk repräsentieren?

Erster Buchstabe des Vornamens gefolgt von den erstenfünf Buchstaben des Nachnamens in Kleinbuchstaben.Beispiel: mjones.

Welche Benennungskonvention gilt für Anwendungenauf Ihrem Netzwerk?

Beschreibender Name gefolgt von einer Zahl. Beispiel:database123.

Für welche IBM i-Services soll die Kerberos-Authentifizierung verwendet werden?

Die IBM i-Kerberos-Authentifizierung kann für die fol-genden Services verwendet werden:

1. IBM Navigator for i, IBM i NetServer und Telnet

2. HTTP-Server (powered by Apache)

3. LDAP

4. NFS-Server (Network File System)

Wie lauten die IBM i-Principal-Namen für jeden dieserIBM i-Services?

1. krbsvr400/[email protected]

2. HTTP/[email protected]

3. ldap/[email protected]

4. nfs/systema.myco.com/MYCO.COM

Hinweise zur Auflösung von HostnamenUm sicherzustellen, dass die Kerberos-Authentifizierung und die Hostnamenauflösung bei den Kerberos-fähigen Anwendungen fehlerfrei funktionieren, müssen Sie überprüfen, ob Ihre PCs und die IBM i-Platt-formen für das System, auf dem sich die Serviceanwendung befindet, den gleichen Hostnamen auflösen.

In einer Kerberos-Umgebung verwenden sowohl der Client als auch der Server eine Form der Hostna-menauflösung, um den Hostnamen des Systems festzustellen, auf dem sich eine bestimmte Anwendungoder ein bestimmter Service befindet. Wenn die IBM i-Plattformen und die PCs einen DNS-Server (DNS =Domain Name System) verwenden, ist zu beachten, dass sie denselben DNS-Server für die Hostnamen-auflösung verwenden müssen; wenn sie mehr als einen DNS-Server verwenden, ist zu beachten, dass dieHostnamen auf beiden DNS-Servern übereinstimmen müssen. Wenn Ihre IBM i-Plattform oder Ihr PCHostnamen lokal auflöst (aus einer lokalen Hosttabelle oder Datei), kann es vorkommen, dass ein andererHostname aufgelöst wird als der entsprechende Hostname, der auf dem DNS-Server aufgezeichnet wur-de. Dies kann zu einem Fehler im Netzwerkauthentifizierungsservice führen.

Um sicherzustellen, dass die Kerberos-Authentifizierung und die Hostnamenauflösung bei den Kerberos-fähigen Anwendungen fehlerfrei funktionieren, müssen Sie überprüfen, ob Ihre PCs und die IBM i-Platt-formen für das System, auf dem sich die Serviceanwendung befindet, den gleichen Hostnamen auflösen.Im folgenden Beispiel wird dieses System als System A bezeichnet.

Die nachfolgenden Anweisungen zeigen, wie festgestellt wird, ob die PCs und IBM i-Plattformen densel-ben Namen für System A auflösen. Verwenden Sie zur Ausführung dieser Anweisungen die Beispielar-beitsblätter.

Netzwerkauthentifizierungsservice 83

Page 90: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Sie können Ihre eigenen Informationen in die leeren Arbeitsblätter eintragen, wenn Sie diese Schritte fürIhren Kerberos-Realm ausführen.

Die Grafik zeigt die Systemdateien und Sätze, die die Hostnameninformationen im folgenden Beispielenthalten.

Anmerkung: Die IP-Adresse 10.1.1.1 ist eine allgemein zugängliche IP-Adresse. Diese Adresse dient nurals Beispiel.

Details

DNS-Server

v Enthält Datenressourcensätze, die angeben, dass die IP-Adresse 10.1.1.1 mit dem Hostnamensystema.myco.com korreliert, der IP-Adresse und dem Hostnamen für System A.

v Kann vom PC, System A oder von beiden für die Hostauflösung verwendet werden.

Anmerkung: Dieses Beispiel veranschaulicht die Verwendung eines einzigen DNS-Servers. In IhremNetzwerk können jedoch auch mehrere DNS-Server verwendet werden. Ihr PC kann beispielsweise ei-nen DNS-Server für die Auflösung von Hostnamen und Ihre IBM i-Plattform einen anderen DNS-Ser-ver verwenden. Sie müssen feststellen, wie viele DNS-Server Ihr Realm für die Hostauflösung verwen-det, und diese Informationen Ihrer Situation entsprechend anpassen.

PC

v Wird unter dem Betriebssystem Windows ausgeführt.v Repräsentiert sowohl den PC, der für die Verwaltung des Netzwerkauthentifizierungsservice verwen-

det wird, als auch den PC, der von einem Benutzer ohne Sonderberechtigung zur Ausführung vonRoutineaufgaben verwendet wird.

84 IBM i: Netzwerkauthentifizierungsservice

Page 91: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Enthält die Datei hosts, die angibt, dass IP-Adresse 10.1.1.1 mit dem Hostnamen systema.myco.comkorreliert.

Anmerkung: Die Datei hosts befindet sich im folgenden Ordner:– Betriebssystem Windows XP, Windows Vista und Windows 7: C:\WINDOWS\system32\drivers\etc\

hosts

System A

v Wird unter IBM i 5.4 oder höher ausgeführt.v Enthält eine Serviceanwendung, auf die Sie unter Verwendung des Netzwerkauthentifizierungsservice

(Kerberos-Authentifizierung) zugreifen müssen.v Innerhalb des Menüs CFGTCP (TCP konfigurieren) liefern die Auswahlmöglichkeiten 10 und 12 die

folgenden Informationen für System A:– Auswahl 10 (Mit TCP/IP-Hosttabelleneinträgen arbeiten):

- Internet-Adresse: 10.1.1.1- Hostname: systema.myco.com

– Auswahl 12 (TCP/IP-Domäneninformationen ändern):- Hostname: systema- Domänenname: myco.com- Priorität für Suche nach Hostname: *LOCAL oder *REMOTE

Anmerkung: Der Parameter 'Priorität für Suche nach Hostname' hat entweder den Wert *LOCALoder *REMOTE, je nachdem, wie TCP/IP vom Netzwerkadministrator für die Ausführung derHostnamenauflösung auf dem System konfiguriert wurde.

Tabelle 22. Beispiel: Arbeitsblatt für die Hostnamenauflösung auf dem PC

Auf dem PC den Hostnamen für System A feststellen

Schritt Quelle Hostname

1.a.1 PC-Datei hosts systema.myco.com

1.b.1 DNS-Server systema.myco.com

Tabelle 23. Beispiel: Arbeitsblatt für die Hostnamenauflösung für IBM i

Auf System A den Hostnamen für System A feststellen

Schritt Quelle Hostname

2.a.2 System AMenü CFGTCP, Auswahl 12

Hostname: systemaDomänenname: myco.com

Anmerkung: Wert für Priorität für Suche nach Hostname: *LOCAL oder *REMOTE

2.b.2 System AMenü CFGTCP, Auswahl 10

systema.myco.com

2.c.1 DNS-Server systema.myco.com

Tabelle 24. Beispiel: Arbeitsblatt für übereinstimmende Hostnamen

Diese drei Hostnamen müssen exakt übereinstimmen

Schritt Hostname

Netzwerkauthentifizierungsservice 85

Page 92: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 24. Beispiel: Arbeitsblatt für übereinstimmende Hostnamen (Forts.)

Diese drei Hostnamen müssen exakt übereinstimmen

Schritt 1 systema.myco.com

Schritt 2.a.2 systemamyco.com

2d systema.myco.com

Anhand der folgenden drei Arbeitsblätter können Sie überprüfen, ob Ihre PCs und IBM i-Plattformen fürdas System, auf dem die Serviceanwendung implementiert ist, den gleichen Hostnamen auflösen.

Tabelle 25. Arbeitsblatt für die Hostnamenauflösung auf dem PC

Auf dem PC den Hostnamen für die IBM i-Plattform feststellen

Schritt Quelle Hostname

1.a.1 PC-Datei hosts

1.b.1 DNS-Server

Tabelle 26. Arbeitsblatt für die Hostnamenauflösung unter IBM i

Auf der IBM i-Plattform den Hostnamen für die IBM i-Plattform feststellen

Schritt Quelle Hostname

2.a.2 IBM iMenü CFGTCP, Auswahl 12

Hostname:Domänenname:

Wert für Priorität für Suche nach Hostname beachten: *LOCAL oder *REMOTE

2.b.2 IBM iMenü CFGTCP, Auswahl 10

2.c.1 DNS-Server

Tabelle 27. Arbeitsblatt für übereinstimmende Hostnamen

Diese drei Hostnamen müssen exakt übereinstimmen

Schritt Hostname

Schritt 1

Schritt 2.a.2

2d

Hostnamen auflösenÜberprüfen Sie, ob auf Ihren PCs und auf Ihren IBM i-Plattformen die gleichen Hostnamen aufgelöstwerden.

Verwenden Sie die zuvor dargestellten Beispielarbeitsblätter hierbei als Referenz. Führen Sie die folgen-den Schritte durch, um sicherzustellen, dass die PCs und IBM i-Plattformen den gleichen Hostnamen fürSystem A auflösen:1. Stellen Sie auf dem PC den vollständig qualifizierten TCP/IP-Hostnamen für System A fest.

86 IBM i: Netzwerkauthentifizierungsservice

Page 93: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Anmerkung: Je nachdem, wie das Netzwerk verwaltet wird, können Sie diesen Schritt auch auf ande-ren PCs ausführen, die zur Einzelanmeldungsumgebung gehören.a. Öffnen Sie im Windows Explorer auf dem PC die Datei hosts an der folgenden Position:

v Betriebssystem Windows XP und Windows 7: C:\WINDOWS\system32\drivers\etc\hosts

Anmerkung: Wenn auf dem PC keine Datei hosts vorhanden ist, verwendet er möglicherweise ei-nen DNS-Server zur Auflösung von Hostnamen. Fahren Sie in diesem Fall mit Schritt 1b fort.Notieren Sie den ersten Hostnamenseintrag für System A auf dem Arbeitsblatt; beachten Sie dabeidie Groß-/Kleinschreibung, z. B. systema.myco.com.

Anmerkung: Wenn die Datei hosts keinen Eintrag für System A enthält, verwendet Ihr PC mögli-cherweise einen DNS-Server zur Auflösung von Hostnamen. Fahren Sie in diesem Fall mit Schritt1b fort.

b. Verwenden Sie NSLOOKUP für die Abfrage des DNS-Servers.

Anmerkung: Überspringen Sie diesen Schritt, wenn Sie in der PC-Datei hosts einen Hostnamen-seintrag gefunden haben, und fahren Sie mit Schritt 2 fort. (Die Datei hosts hat hierbei bei derHostnamenauflösung für den PC durch das Betriebssystem Priorität gegenüber DNS-Servern.)1) Geben Sie bei einer Eingabeaufforderung NSLOOKUP ein, und drücken Sie die Eingabetaste. Ge-

ben Sie an der NSLOOKUP-Eingabeaufforderung 10.1.1.1 ein, um den DNS-Server für SystemA abzufragen. Notieren Sie den Hostnamen, der vom DNS-Server zurückgegeben wird, undbeachten Sie hierbei die Groß-/Kleinschreibung, z. B. systema.myco.com.

2) Geben Sie bei der NSLOOKUP-Eingabeaufforderung systema.myco.com ein. Dabei muss es sichum den vom DNS-Server im vorherigen Schritt zurückgegebenen Hostnamen handeln. Verge-wissern Sie sich, dass der DNS-Server die IP-Adresse zurückgibt, die Sie erwarten, z. B.10.1.1.1.

Anmerkung: Wenn NSLOOKUP nicht die erwarteten Ergebnisse liefert, ist Ihre DNS-Konfigu-ration unvollständig. Gibt NSLOOKUP beispielsweise eine IP-Adresse zurück, die von der inSchritt 1.b.1 eingegebenen Adresse abweicht, müssen Sie den DNS-Administrator informieren,damit der Fehler behoben wird, bevor Sie mit den nächsten Schritten fortfahren können.

2. Stellen Sie auf System A den vollständig qualifizierten TCP/IP-Hostnamen fest.a. TCP/IP-Domäneninformationen

1) Geben Sie bei der Eingabeaufforderung CFGTCP ein, und geben Sie Auswahl 12 (TCP/IP-Domä-nen ändern) an.

2) Notieren Sie die Werte für die Parameter Hostname und Domänenname; beachten Sie dabei dieGroß-/Kleinschreibung. Beispiel:v Hostname: systemav Domänenname: myco.com

3) Notieren Sie den Wert für den Parameter Priorität für Suche nach Hostname.v *LOCAL - Das Betriebssystem durchsucht zuerst die lokale Hosttabelle (entspricht der Datei

hosts auf dem PC). Wenn in der Hosttabelle kein übereinstimmender Eintrag gefunden wirdund ein DNS-Server konfiguriert ist, durchsucht das Betriebssystem anschließend diesenDNS-Server.

v *REMOTE - Das Betriebssystem durchsucht zuerst den DNS-Server. Wenn im DNS-Server keinübereinstimmender Eintrag gefunden wird, durchsucht das Betriebssystem anschließend dielokale Hosttabelle.

b. TCP/IP-Hosttabelle1) Geben Sie bei der Eingabeaufforderung CFGTCP ein, und geben Sie Auswahl 10 (Mit TCP/IP-

Hosttabelleneinträgen arbeiten) an.

Netzwerkauthentifizierungsservice 87

Page 94: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

2) Notieren Sie in der Spalte Hostname den Wert, der System A entspricht (IP-Adresse 10.1.1.1);beachten Sie dabei die Groß-/Kleinschreibung, z. B. systema.myco.com.

Anmerkung: Wenn Sie in der Hosttabelle keinen Eintrag für System A finden können, fahrenSie mit dem nächsten Schritt fort.

c. DNS-Server1) Geben Sie bei einer Eingabeaufforderung NSLOOKUP ein, und drücken Sie die Eingabetaste. Ge-

ben Sie an der NSLOOKUP-Eingabeaufforderung 10.1.1.1 ein, um den DNS-Server für SystemA abzufragen. Notieren Sie den Hostnamen, der vom DNS-Server zurückgegeben wird, undbeachten Sie hierbei die Groß-/Kleinschreibung, z. B. systema.myco.com.

2) Geben Sie bei der NSLOOKUP-Eingabeaufforderung systema.myco.com ein. Dabei muss es sichum den vom DNS-Server im vorherigen Schritt zurückgegebenen Hostnamen handeln. Verge-wissern Sie sich, dass der DNS-Server die IP-Adresse zurückgibt, die Sie erwarten, z. B.10.1.1.1.

Anmerkung: Wenn NSLOOKUP nicht die erwarteten Ergebnisse liefert, ist Ihre DNS-Konfigu-ration unvollständig. Gibt NSLOOKUP beispielsweise eine IP-Adresse zurück, die von der inSchritt 2.c.1 eingegebenen Adresse abweicht, müssen Sie den DNS-Administrator informieren,damit der Fehler behoben wird, bevor Sie mit den nächsten Schritten fortfahren können.

d. Legen Sie fest, welcher Hostnamenwert für System A, basierend auf seiner TCP/IP-Konfiguration,gelten soll.v Lautet der Wert für den Parameter Priorität für Suche nach Hostname *LOCAL, verwenden Sie den

Eintrag aus der lokalen Hosttabelle (Schritt 2.b.2).v Lautet der Wert für den Parameter Priorität für Suche nach Hostname *REMOTE, verwenden Sie den

Eintrag aus dem DNS-Server (Schritt 2.c.1).v Wenn nur eine dieser Quellen einen Eintrag für System A enthält, dann verwenden Sie diesen

Eintrag.3. Vergleichen Sie die Ergebnisse der folgenden Schritte:

a. Schritt 1: Der Name, den der PC für System A verwendet.

Anmerkung: Wenn Sie in der PC-Datei hosts einen Eintrag für System A finden, verwenden Siediesen. Andernfalls verwenden Sie den Eintrag vom DNS-Server.

b. Schritt 2.a.2: Der Name, den System A selbst innerhalb seiner TCP/IP-Konfiguration aufruft.c. Schritt 2d: Der Name, den System A selbst auf der Basis der Hostnamenauflösung aufruft.

Alle drei genannten Einträge müssen exakt übereinstimmen, einschließlich Groß-/Kleinschreibung.Wenn die Ergebnisse nicht exakt übereinstimmen, erhalten Sie eine Fehlernachricht, die besagt, dassein Chiffrierschlüsseleintrag nicht gefunden werden kann.

Planungsarbeitsblätter für NetzwerkauthentifizierungsserviceUm den Netzwerkauthentifizierungsservice richtig zu konfigurieren, müssen Sie die Voraussetzungenkennen und die erforderlichen Planungsschritte ausführen.

Im Folgenden finden Sie ein Arbeitsblatt für die Voraussetzungen und ein Arbeitsblatt für die Planung,mit deren Hilfe Sie sich vergewissern können, dass alle erforderlichen Schritte durchgeführt wurden. Ver-wenden Sie die Arbeitsblätter als Hilfsmittel für die Planung einer Kerberos-Implementierung und dieKonfiguration des Netzwerkauthentifizierungsservice.

Arbeitsblatt für Voraussetzungen

Verwenden Sie dieses Arbeitsblatt, um sicherzustellen, dass alle erforderlichen Voraussetzungen erfülltwurden. Sie sollten alle Fragen nach den Voraussetzungen mit Ja beantworten können, bevor Sie mit denKonfigurations-Tasks beginnen.

88 IBM i: Netzwerkauthentifizierungsservice

Page 95: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 28. Arbeitsblatt für Voraussetzungen

Fragen Antworten

Arbeitet Ihr System mit IBM i 5.4 oder einer höheren Version (5770-SS1)?

Ist Network Authentication Enablement (5770-NAE) auf Ihren Systemen installiert?

Verfügen Sie über die Sonderberechtigungen *SECADM, *ALLOBJ und *IOSYSCFG?

Ist eines der folgenden Produkte auf einem sicheren System installiert, das alsKerberos-Server dienen soll? Welches?

1. Windows-Server

2. AIX-Server

3. PASE für i (5.4 oder höher)

4. z/OS

Windows-Server: Sind die Windows-Unterstützungstools (die das Tool ktpass enthal-ten) auf dem System installiert, das als KDC (Key Distribution Center) verwendetwird?

Wenn sich Ihr Kerberos-Server auf einem Windows-Server befindet: Sind alle PCs inIhrem Netzwerk in einer Windows-Domäne konfiguriert?

Wurden die neuesten PTFs (temporäre Programmkorrekturen) angelegt?

Beträgt die Abweichung zwischen der Systemzeit des IBM i-Systems und der System-zeit des Kerberos-Servers maximal fünf Minuten? Ist die Abweichung größer, lesenSie die Informationen unter „Systemzeiten synchronisieren” auf Seite 103.

Tabelle 29. Planungsarbeitsblatt für Kerberos-Server

Fragen Antworten

Unter welchem Betriebssystem soll der Kerberos-Serverkonfiguriert werden?

v Windows-Server

v AIX-Server

v PASE für i (5.4 oder höher)

v z/OS

Wie lautet der vollständig qualifizierte Domänennamefür den Kerberos-Server?

Sind die Systemzeiten der PCs und Systeme, die mit demKerberos-Server verbunden sind, synchronisiert? Wiehoch ist die maximale Zeitabweichung?

Tabelle 30. Planungsarbeitsblatt für Kerberos-Realm

Fragen Antworten

Wie viele Realms werden benötigt?

Wie sollen die Realms organisiert werden?

Welche Benennungskonvention soll für Realms gelten?

Tabelle 31. Planungsarbeitsblatt für Principal

Fragen Antworten

Welche Benennungskonvention soll für Kerberos-Principals gelten, die Benutzer in Ihrem Netzwerk reprä-sentieren?

Netzwerkauthentifizierungsservice 89

Page 96: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 31. Planungsarbeitsblatt für Principal (Forts.)

Fragen Antworten

Welche Benennungskonvention gilt für Anwendungenauf Ihrem Netzwerk?

Für welche IBM i-Services soll die Kerberos-Authentifizierung verwendet werden?

Wie lauten die IBM i-Principal-Namen für jeden dieserIBM i-Services?

Tabelle 32. Arbeitsblatt für Hostnamenauflösung

Frage Antwort

Verwenden die PCs und die IBM i-Plattform denselbenDNS-Server zur Auflösung von Hostnamen?

Verwenden Sie zur Auflösung von Hostnamen auf derIBM i-Plattform eine lokale Hosttabelle?

Lösen Ihr PC und Ihre IBM i-Plattform den gleichenHostnamen für die IBM i-Plattform auf? Siehe „Hinweisezur Auflösung von Hostnamen” auf Seite 83.

Das folgende Planungsarbeitsblatt veranschaulicht, welche Informationen Sie benötigen, bevor Sie mit derKonfiguration des Kerberos-Servers in PASE für i und des Netzwerkauthentifizierungsservice beginnenkönnen. Alle Fragen auf dem Arbeitsblatt für die Voraussetzungen müssen beantwortet werden, bevor Siemit der Konfiguration des Kerberos-Servers in PASE für i fortfahren.

Tabelle 33. Planungsarbeitsblatt für PASE für i

Fragen Antworten

Ist PASE installiert?

Wie lautet der Name des Standard-Realms?

Wie heißt der Kerberos-Server für diesen Kerberos-Standard-Realm? An welchem Portist der Kerberos-Server empfangsbereit?

Welche Benennungskonvention gilt für Kerberos-Principals, die Benutzer in IhremNetzwerk repräsentieren?

Wie lauten die Principal-Namen der Benutzer in Ihrem Netzwerk?

Verwenden Sie das folgende Planungsarbeitsblatt, um alle Informationen zusammenzustellen, die Sie be-nötigen, bevor Sie mit der Konfiguration des Netzwerkauthentifizierungsservice beginnen können. AlleFragen auf dem Arbeitsblatt für die Voraussetzungen müssen beantwortet werden, bevor Sie mit derKonfiguration des Netzwerkauthentifizierungsservice fortfahren.

Tabelle 34. Planungsarbeitsblatt für Netzwerkauthentifizierungsservice

Fragen Antworten

Wie lautet der Name des Kerberos-Standard-Realms, zu dem Ihr System gehören soll?Anmerkung: Eine Windows-Domäne ist mit einem Kerberos-Realm vergleichbar.

Verwenden Sie Microsoft Active Directory?

Wie heißt der Kerberos-Server für diesen Kerberos-Standard-Realm? An welchem Portist der Kerberos-Server empfangsbereit?

90 IBM i: Netzwerkauthentifizierungsservice

Page 97: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 34. Planungsarbeitsblatt für Netzwerkauthentifizierungsservice (Forts.)

Fragen Antworten

Soll ein Kennwortserver für den Standard-Realm konfiguriert werden? Wenn ja, be-antworten Sie die folgenden Fragen:

Wie lautet der Name des Kennwortservers für diesen Kerberos-Server?Auf welchem Port ist der Kennwortserver empfangsbereit?

Für welche Services sollen Chiffrierschlüsseleinträge erstellt werden?

v IBM i-Kerberos-Authentifizierung

v LDAP

v IBM HTTP-Server

v IBM i NetServer

v NFS-Server

Wenn Sie einen Service-Principal für die IBM i-Kerberos-Authentifizierung erstellenmöchten: Wie lautet dessen Kennwort?

Wenn Sie einen Service-Principal für LDAP erstellen möchten: wie lautet dessenKennwort?

Wenn Sie einen Service-Principal für den HTTP-Server erstellen möchten: wie lautetdessen Kennwort?

Wenn Sie einen Service-Principal für IBM i NetServer erstellen möchten: Wie lautetdessen Kennwort?Anmerkung: Wenn der Assistent für den Netzwerkauthentifizierungsservice ange-zeigt wird, werden mehrere Principals für IBM i NetServer erstellt. Notieren Sie diesehier, sobald sie im Assistenten angezeigt werden. Die Namen dieser Principals wer-den benötigt, um sie dem Kerberos-Server hinzufügen zu können.

Wenn Sie einen Service-Principal für den NFS-Server erstellen möchten: Wie lautetdessen Kennwort?

Möchten Sie eine Stapeldatei erstellen, um das Hinzufügen der Service-Principalszum Microsoft Active Directory zu automatisieren?

Möchten Sie den IBM i-Service-Principals in der Stapeldatei Kennwörter hinzufügen?

Netzwerkauthentifizierungsservice konfigurierenDer Netzwerkauthentifizierungsservice ermöglicht dem IBM i-Produkt die Nutzung eines vorhandenenKerberos-Netzwerks. Der Netzwerkauthentifizierungsservice setzt voraus, dass ein Kerberos-Server auf ei-nem sicheren System in Ihrem Netzwerk konfiguriert ist.

Kerberos-Server konfigurieren

Derzeit kann ein Kerberos-Server in IBM Portable Application Solutions Environment für i (PASE für i)konfiguriert werden. Neben dieser IBM i-Unterstützung interagiert die IBM i-Plattform auch mit dem Mi-crosoft Windows, dem AIX-Server und z/OS. Machen Sie sich anhand der folgenden Informationen mitder Vorgehensweise zur Konfiguration eines Kerberos-Servers auf den einzelnen Plattformen vertraut:

v z/OS Security Server Network Authentication Service Administrationv IBM Network Authentication Service AIX, Linux, and Solaris Administrator's and User's Guide

Anmerkung: Die genannten Dokumentationen finden Sie auf der CD AIX 5L Expansion Pack and Bo-

nus Pack .

Kerberos-Server in PASE für i konfigurieren

Netzwerkauthentifizierungsservice 91

Page 98: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

1. „Kerberos-Server in PASE für i konfigurieren”2. „Verschlüsselungswerte auf dem Kerberos-Server ändern” auf Seite 933. „Kerberos-Server stoppen und erneut starten” auf Seite 934. „Host-, Benutzer- und Service-Principals erstellen” auf Seite 935. „Windows-Workstations konfigurieren” auf Seite 946. „Sekundären Kerberos-Server konfigurieren” auf Seite 95

Netzwerkauthentifizierungsservice auf der IBM i-Plattform konfigurieren

1. „Netzwerkauthentifizierungsservice konfigurieren” auf Seite 972. „IBM i-Principals zum Kerberos-Server hinzufügen” auf Seite 983. „Ausgangsverzeichnis erstellen” auf Seite 1014. „Konfiguration des Netzwerkauthentifizierungsservice testen” auf Seite 101

Kerberos-Server in PASE für i konfigurierenZur Bereitstellung einer integrierten Laufzeitumgebung für AIX-Anwendungen müssen Sie einen Kerbe-ros-Server auf Ihrer IBM i-Plattform konfigurieren und verwalten.

IBM i unterstützt einen Kerberos-Server in der IBM Portable Application Solutions Environment für i(PASE). PASE für i stellt eine integrierte Laufzeitumgebung für AIX-Anwendungen zur Verfügung. Siekönnen einen Kerberos-Server über Ihre IBM i-Plattform konfigurieren und verwalten. Führen Sie die fol-genden Schritte durch, um einen Kerberos-Server in PASE für i zu konfigurieren:1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM in der Eingabeaufforderung ein. Mit

diesem Befehl wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit PASE für i-Anwendungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie in der Befehlszeile config.krb5 -S -d systema.myco.com -r MYCO.COM ein. -d ist der DNSIhres Netzwerks und -r ist der Name des Realms. (In diesem Beispiel ist myco.com der DNS-Nameund MYCO.COM der Realmname.) Dieser Befehl aktualisiert die Datei krb5.config mit dem Domä-nennamen und dem Realm für den Kerberos-Server, erstellt die Kerberos-Datenbank innerhalb des in-tegrierten Dateisystems und konfiguriert den Kerberos-Server in PASE für i. Sie werden aufgefordert,ein Hauptkennwort für die Datenbank und ein Kennwort für den Principal admin/admin hinzuzufü-gen, das für die Verwaltung des Kerberos-Servers verwendet wird.

Anmerkung: In V5R3 und V5R4 können Kerberos-Principals nur in der vorhandenen Datenbank ge-speichert werden. Das LDAP-Verzeichnis-Plug-in wird derzeit nicht unterstützt.

4. Optional: Wenn der Kerberos-Server und der Verwaltungsserver beim IPL automatisch gestartet wer-den sollen, müssen zwei weitere Schritte durchgeführt werden. Sie müssen eine Jobbeschreibung er-stellen und einen Eintrag für den automatisch zu startenden Job hinzufügen. Führen Sie die folgendenSchritte durch, um IBM i so zu konfigurieren, dass der Kerberos-Server und der Verwaltungsserverwährend eines IPL automatisch gestartet werden.a. Erstellen Sie eine Jobbeschreibung.

Geben Sie in einer IBM i-Befehlszeile folgenden Befehl ein, wobei xxxxxx für das IBM i-Benutzer-profil mit der Sonderberechtigung für alle Objekte (*ALLOBJ) steht:CRTJOBD JOBD(QGPL/KRB5PASE) JOBQ(QSYS/QSYSNOMAX) TEXT('KDC und Admin-Server in PASEstarten') USER(xxxxxx) RQSDTA('QSYS/CALL PGM(QSYS/QP2SHELL) PARM(''/usr/krb5/sbin/start.krb5'')') SYNTAX(*NOCHK) INLLIBL(*SYSVAL) ENDSEV( 30)

b. Fügen Sie einen Eintrag für den automatisch zu startenden Job hinzu. Geben Sie in der Befehlszei-le folgenden Befehl ein:

ADDAJE SBSD(QSYS/QSYSWRK) JOB(KRB5PASE) JOBD(QGPL/KRB5PASE).

92 IBM i: Netzwerkauthentifizierungsservice

Page 99: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Anmerkung: Statt beim IPL können die Server auch manuell nach dem IPL gestartet werden. FührenSie dazu die folgenden Schritte durch:a. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM ein, um die interaktive Shell-Umge-

bung von PASE für i aufzurufen.b. Geben Sie in der Befehlszeile /usr/krb5/sbin/start.krb5 ein, um die Server zu starten.

Die weiteren Schritte

Wenn Sie Windows-Workstations mit einem Kerberos-Server verwenden, der nicht über das WindowsActive Directory konfiguriert ist (wie beispielsweise ein Kerberos-Server in PASE für i), müssen Sie so-wohl auf dem Kerberos-Server als auch auf der Workstation mehrere Konfigurationsschritte ausführen,damit die Kerberos-Authentifizierung einwandfrei funktioniert.

Verschlüsselungswerte auf dem Kerberos-Server ändernFalls erforderlich, ändern Sie die Standardverschlüsselungseinstellungen auf dem Kerberos-Server, damitClients auf dem IBM i PASE-Kerberos-Server authentifiziert werden können.

Zum Ändern der Standardverschlüsselungseinstellungen müssen Sie die Datei kdc.conf im Verzeichnis/etc/krb5 editieren. Gehen Sie dazu wie folgt vor:1. Geben Sie in einer zeichenbasierten Schnittstelle edtf '/var/krb5/krb5kdc/kdc.conf' ein, um auf die

Datei kdc.conf zuzugreifen.2. Die folgende Liste enthält die Verschlüsselungstypen. In der Liste können Werte hingefügt oder geän-

dert werden, damit die Liste die Verschlüsselungstypen enthält, die Sie unterstützen möchten.supported_enctypes = des3-cbc-sha1:normalarcfour-hmac:normal aes256-cts:normaldes-cbc-md5:normal des-cbc-crc:normal

Kerberos-Server stoppen und erneut startenDer Kerberos-Server muss in IBM i PASE gestoppt und erneut gestartet werden, damit die zuvor geän-derten Verschlüsselungswerte aktualisiert werden.

Führen Sie die folgenden Schritte durch:1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM in der Befehlszeile ein. Mit diesem Be-

fehl wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwen-dungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie in der Befehlszeile stop.krb5 ein. Mit diesem Befehl wird der Kerberos-Server gestoppt.4. Geben Sie in der Befehlszeile start.krb5 ein. Mit diesem Befehl wird der Kerberos-Server gestartet.

Host-, Benutzer- und Service-Principals erstellenIm Folgenden wird die Vorgehensweise zur Erstellung von Host-Principals für Ihre Windows-Worksta-tions und zur Erstellung von Benutzer- und Service-Principals auf Ihrem Kerberos-Server erläutert.

Damit eine Windows-Workstation und ein Kerberos-Server in IBM i PASE zusammenarbeiten können,müssen Sie dem Kerberos-Realm einen Host-Principal für die Workstation hinzufügen. Damit Benutzerfür Services im Netzwerk authentifiziert werden können, müssen Sie sie als Principals zum Kerberos-Ser-ver hinzufügen. Diese Host-Principals werden auf dem Kerberos-Server gespeichert und zur Validierungvon Benutzern im Netzwerk verwendet. Damit IBM i Kerberos-Tickets akzeptieren kann, müssen Sie die-se als Principals zum Kerberos-Server hinzufügen. Führen Sie die folgenden Tasks durch:

Anmerkung: Die hier verwendeten Benutzernamen, Hostnamen und Kennwörter dienen nur als Beispiel.

Netzwerkauthentifizierungsservice 93

Page 100: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM in der Befehlszeile ein. Mit diesem Be-fehl wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwen-dungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie in der Befehlszeile kadmin -p admin/admin ein, und drücken Sie die Eingabetaste.4. Melden Sie sich mit dem Kennwort des Administrators an.5. Geben Sie bei der kadmin-Eingabeaufforderung addprinc -pw secret1 host/pc1.myco.com ein. Mit die-

sem Befehl wird ein Host-Principal für den PC in Ihrem Netzwerk erstellt. Wiederholen Sie diesenSchritt für alle PCs in Ihrem Netzwerk.

6. Geben Sie addprinc -pw secret jonesm ein. Mit diesem Befehl wird ein Principal für den BenutzerMary Jones erstellt. Wiederholen Sie diesen Schritt für alle Benutzer.

7. Geben Sie bei der kadmin-Eingabeaufforderung addprinc -pw systema123 krbsvr400/systema.myco.com ein. Mit diesem Befehl wird ein Service-Principal für den Kerberos-Server erstellt.

8. Geben Sie quit ein, um die kadmin-Schnittstelle zu verlassen, und drücken Sie F3 (Verlassen), um diePASE-Umgebung zu verlassen.

Windows-Workstations konfigurierenUm die Client-Workstations zu konfigurieren, müssen Sie den Kerberos-Realm und den Kerberos-Serverdefinieren.

Nachdem Sie einen Host-Principal für Ihre Windows-Workstation auf dem Kerberos-Server in IBM i PASEerstellt haben, müssen Sie die Client-Workstations konfigurieren. Sie müssen diese Clients einer Arbeits-gruppe hinzufügen, indem Sie den Kerberos-Realm und den Kerberos-Server auf der Workstation festle-gen. Sie müssen außerdem ein Kennwort festlegen, das der Workstation zugeordnet wird. Führen Sie diefolgenden Schritte durch, um die Workstations zu konfigurieren:

Anmerkung: Die hier verwendeten Benutzernamen, Hostnamen und Kennwörter dienen nur als Beispiel.1. Geben Sie in einer Befehlszeile auf der Windows-Workstation Folgendes ein:

C:> ksetup /setdomain REALM.NAME.COMC:> ksetup /addkdc REALM.NAME.COM kdc1.hostname.com

Beispiel: Der Administrator für MyCo, Inc. würde Folgendes eingeben:

C:> ksetup /setdomain MYCO.COMC:> ksetup /addkdc MYCO.COM kdc1.myco.com

2. Legen Sie das Kennwort des Kontos der lokalen Maschine fest, indem Sie bei der Eingabeaufforde-rung der Windows-Workstation Folgendes eingeben:

C:> ksetup /setmachpassword password

Dieses Kennwort muss mit dem Kennwort übereinstimmen, das beim Erstellen des Host-Principalspc1.myco.com verwendet wurde. Beispiel: Der Benutzer für MyCo, Inc. würde Folgendes eingeben:

C:> ksetup /setmachpassword secret1

3. Ordnen Sie den Kerberos-Benutzer einem lokalen Benutzer zu, indem Sie an der Eingabeaufforderungder Windows-Workstation Folgendes eingeben:

C:> ksetup /mapuser [email protected] maryjones

4. Starten Sie den Computer neu, damit die Änderungen in Kraft treten.

94 IBM i: Netzwerkauthentifizierungsservice

Page 101: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Wahlweise können Sie noch einen sekundären Kerberos-Server konfigurieren, der als Sicherungsserverfungiert, falls der primäre Kerberos-Server einmal ausfällt oder so stark ausgelastet ist, dass er nicht alleAnforderungen verarbeiten kann. Detaillierte Anweisungen hierzu finden Sie unter „Sekundären Kerbe-ros-Server konfigurieren”.

Sekundären Kerberos-Server konfigurierenNach der Konfiguration des primären Kerberos-Servers in IBM i PASE können Sie wahlweise noch einensekundären Kerberos-Server konfigurieren, der als Sicherungsserver fungiert, falls der primäre Kerberos-Server einmal ausfällt oder so stark ausgelastet ist, dass er nicht alle Anforderungen verarbeiten kann.

Beispiel: System A fungiert momentan als Kerberos-Server. Sie möchten jetzt das System B als sekundärenKerberos-Server (Sicherungsserver) konfigurieren.

Anmerkung: Ein Kerberos-Server wird auch als KDC (Key Distribution Center - Instanz zur Schlüsselver-teilung) bezeichnet.

Die folgende Abbildung zeigt die IBM i-Produkte, die in den nachfolgenden Anweisungen beschriebenwerden.

Details

v Die Abbildung zeigt die IBM i-Produkte so, wie sie sich nach der Konfiguration eines sekundären Ker-beros-Servers darstellen:– System A fungiert als der primäre Kerberos-Server, der in IBM i PASE konfiguriert ist.– System B fungiert als der sekundäre Kerberos-Server, der in IBM i PASE konfiguriert ist.– System C fungiert als Client, der System B als Kerberos-Server verwendet.

Führen Sie die folgenden Schritte durch, um System B in IBM i PASE als sekundären Kerberos-Server zukonfigurieren:1. Konfigurieren Sie System B als Client.

Netzwerkauthentifizierungsservice 95

Page 102: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

a. Geben Sie in einer zeichenbasierten Schnittstelle auf System B call QP2TERM ein. Mit diesem Befehlwird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwen-dungen ermöglicht.

b. Geben Sie in der Befehlszeile folgenden Befehl ein:

export PATH=$PATH:/usr/krb5/sbin

Dieser Befehl verweist auf die Kerberos-Scripts, die zur Ausführung der ausführbaren Dateien be-nötigt werden.

c. Geben Sie in der Befehlszeile Folgendes ein:

config.krb5 -E -d rchland.ibm.com -r MYCO.COM -s lp16b1b.rchland.ibm.com

d. Geben Sie das Administratorkennwort, z. B. secret, ein.Mit dem Befehl config.krb5 können Sie den Client sowie den primären und sekundären Server konfi-gurieren. Mit dem Attribut -C wird der Client auf System C konfiguriert, mit dem Attribut -s der pri-märe Kerberos-Server auf System A. Das Attribut -E dient zur Konfiguration des sekundären Kerbe-ros-Servers auf System B.

2. Fügen Sie dem Kerberos-Server auf System A einen IBM i-Principal für System A und B hinzu.a. Geben Sie in einer zeichenbasierten Schnittstelle auf System A call QP2TERM ein. Mit diesem Befehl

wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwen-dungen ermöglicht.

b. Geben Sie in der Befehlszeile Folgendes ein:

export PATH=$PATH:/usr/krb5/sbin

Dieser Befehl verweist auf die Kerberos-Scripts, die zur Ausführung der ausführbaren Dateien be-nötigt werden.

c. Geben Sie in der Befehlszeile kadmin -p admin/admin ein.d. Melden Sie sich mit dem Kennwort des Administrators an. Beispiel: secret.e. Geben Sie in der Befehlszeile folgenden Befehl ein:

addprinc -randkey -clearpolicy host/systema.myco.com

f. Geben Sie in der Befehlszeile folgenden Befehl ein:

addprinc -randkey -clearpolicy host/systemb.myco.com

3. Geben Sie die Masterdatenbank vom primären an den sekundären Kerberos-Server weiter.a. Geben Sie in einer zeichenbasierten Schnittstelle auf System A call QP2TERM ein. Mit diesem Befehl

wird eine interaktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwen-dungen ermöglicht.

b. Geben Sie in der Befehlszeile folgenden Befehl ein:

export PATH=$PATH:/usr/krb5/sbin

Dieser Befehl verweist auf die Kerberos-Scripts, die zur Ausführung der ausführbaren Dateien be-nötigt werden.

c. Geben Sie in der Befehlszeile Folgendes ein:

/usr/krb5/sbin/config.krb5 -P -r MYCO.COM -d rchland.ibm.com -e rchasrc2.rchland.ibm.com

Tipp: Sie können den Befehl in der Nachricht, die auf dem primären Kerberos-System angezeigtwird, ausschneiden und einfügen.

96 IBM i: Netzwerkauthentifizierungsservice

Page 103: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Das Attribut -P dient zur Weitergabe der Masterdatenbank vom primären an den sekundären Ker-beros-Server. Im Attribut -r wird der Realmname angegeben. Das Attribut -d dient zur Angabedes Namens der DNS-Domäne. Im Attribut -e wird der Hostname des sekundären Kerberos-Ser-vers angegeben.

4. Prüfen Sie auf dem sekundären Kerberos-Server, ob die Masterdatenbank erfolgreich weitergegebenwurde.a. Geben Sie auf dem sekundären Kerberos-Server Y (Ja) ein, wenn Sie die folgende Systemanfrage

erhalten: Have you successfully run the above command?

b. Geben Sie das Masterkennwort der Datenbank, z. B. pasepwd, ein. Dieser Befehl dient zur Abnah-me des Masterschlüssels.

Netzwerkauthentifizierungsservice konfigurierenIm Folgenden erfahren Sie, welche Voraussetzungen zum Konfigurieren des Netzwerkauthentifizierungs-service auf Ihren System erfüllt werden müssen und welche Vorgehensweise zur Konfiguration angewen-det werden kann.

Bevor Sie den Netzwerkauthentifizierungsservice konfigurieren, sollten Sie die folgenden Tasks ausfüh-ren:v Füllen Sie alle erforderlichen Planungsarbeitsblätter aus.v Wenn Ihre PCs und IBM i-Plattformen die Hostnamenauflösung durchführen, müssen Sie sich verge-

wissern, dass für Ihre IBM i-Produkte die gleichen Hostnamen aufgelöst werden. Weitere Informatio-nen zu dieser Task finden Sie unter „Hinweise zur Auflösung von Hostnamen” auf Seite 83.

v Konfigurieren Sie einen Kerberos-Server auf einem sicheren System in Ihrem Netzwerk. Wenn Sie einenKerberos-Server in PASE für i konfiguriert haben, vergewissern Sie sich, dass Sie alle erforderlichenKonfigurationsschritte für die Server- und Client-Workstations ausgeführt haben, bevor Sie die Netz-werkauthentifizierung auf der IBM i-Plattform konfigurieren. Einzelheiten zur Konfiguration eines Ker-beros-Servers in PASE für i finden Sie in „Kerberos-Server in PASE für i konfigurieren” auf Seite 92.Sie können einen Kerberos-Server auch unter Microsoft Windows, Windows-Server und z/OS konfigu-rieren. Informationen dazu finden Sie in der entsprechenden Dokumentation zur Kerberos-Konfigurati-on für das System, das als Kerberos-Server dienen soll.Es wird empfohlen, den Kerberos-Server vor dem Netzwerkauthentifizierungsservice auf der IBM i-Plattform zu konfigurieren.

Führen Sie die folgenden Schritte durch, um den Netzwerkauthentifizierungsservice zu konfigurieren:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit.2. Erweitern Sie den Eintrag für Alle Tasks > Netzwerkauthentifizierungsservice und wählen Sie Kon-

figurieren aus, um den Konfigurationsassistenten zu starten.

Anmerkung: Nach der Konfiguration des Netzwerkauthentifizierungsservice lautet diese AuswahlRekonfigurieren.

3. Die Begrüßungsseite enthält Informationen zu den vom Assistenten erstellten Objekten. Klicken Sieauf Weiter.

4. Geben Sie auf der Seite 'Realm-Informationen angeben' im Feld Standard-Realm den Namen desStandard-Realms ein. Wenn Sie das Microsoft Active Directory für die Kerberos-Authentifizierungverwenden, wählen Sie Microsoft Active Directory wird für Kerberos-Authentifizierung verwendetaus. Klicken Sie auf Weiter.

5. Geben Sie auf der Seite 'KDC-Informationen angeben' im Feld KDC den Namen des Kerberos-Ser-vers für diesen Realm und im Feld Port den Wert 88 ein. Klicken Sie auf Weiter.

6. Wählen Sie auf der Seite 'Kennwortserverinformationen angeben' für die Definition eines Kennwort-servers entweder Ja oder Nein aus. Mit dem Kennwortserver können Principals Kennwörter aufdem Kerberos-Server ändern. Wenn Sie Ja auswählen, geben Sie den Namen des Kennwortservers imFeld Kennwortserver ein. Der Standardport für den Kennwortserver ist 464. Klicken Sie auf Weiter.

Netzwerkauthentifizierungsservice 97

Page 104: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

7. Wählen Sie auf der Seite 'Chiffrierschlüsseleinträge auswählen' IBM i-Kerberos-Authentifizierungaus. Sie können außerdem Chiffrierschlüsseleinträge für den Directory-Server (LDAP), IBM i NetSer-ver, den HTTP-Server und den NFS-Server (Network File System) erstellen, wenn diese Services dieKerberos-Authentifizierung verwenden sollen.

Anmerkung: In diesem Fall sind für einige dieser Services zusätzliche Konfigurationsschritte erfor-derlich.Klicken Sie auf Weiter.

8. Geben Sie auf der Seite 'IBM i-Chiffrierschlüsseleintrag erstellen' ein Kennwort ein, und bestätigenSie es. Klicken Sie auf Weiter.

Anmerkung: Dieses Kennwort verwenden Sie auch, wenn Sie die IBM i-Principals zum Kerberos-Server hinzufügen.

9. Wählen Sie auf der Seite 'Stapeldatei erstellen' Ja aus.

Anmerkung: Diese Seite wird nur angezeigt, wenn Sie in Schritt 4 oben Microsoft Active Directorywird für Kerberos-Authentifizierung verwendet ausgewählt haben.

10. Aktualisieren Sie im Feld Stapeldatei den Verzeichnispfad. Sie können auf Durchsuchen klicken, umden entsprechenden Verzeichnispfad zu lokalisieren, und den Pfad in dem Feld editieren.

11. Wählen Sie im Feld Kennwort einfügen die Einstellung Ja aus. Dies garantiert, dass alle Kennwörter,die dem IBM i-Service-Principal zugeordnet sind, in die Stapeldatei eingefügt werden. Beachten Sie,dass Kennwörter in Klartext angezeigt werden und von jeder Person mit Lesezugriffsberechtigungfür die Stapeldatei gelesen werden können.

Anmerkung: Sie können dem Microsoft Active Directory auch manuell die vom Assistenten gene-rierten Service-Principals hinzufügen. Unter „IBM i-Principals zum Kerberos-Server hinzufügen”wird erläutert, wie IBM i-Service-Principals manuell zum Microsoft Active Directory hinzugefügtwerden können.

12. Auf der Seite 'Zusammenfassung' können Sie die Details zur Konfiguration des Netzwerkauthentifi-zierungsservice überprüfen. Klicken Sie auf Fertig stellen.

Der Netzwerkauthentifizierungsservice ist jetzt konfiguriert.Zugehörige Konzepte:„Netzwerkauthentifizierungsservice verwalten” auf Seite 102Nachdem Sie den Netzwerkauthentifizierungsservice konfiguriert haben, können Sie Tickets anfordern,mit Chiffrierschlüsseldateien arbeiten und die Hostnamenauflösung verwalten. Sie können außerdem mitDateien für Berechtigungsnachweise arbeiten und Konfigurationsdateien sichern.

IBM i-Principals zum Kerberos-Server hinzufügenNachdem Sie den Netzwerkauthentifizierungsservice auf Ihrer IBM i-Plattform konfiguriert haben, müs-sen Sie Ihre IBM i-Principals zum Kerberos-Server hinzufügen.

Der Netzwerkauthentifizierungsservice stellt den IBM i-Principal-Namen krbsvr400 für das System unddie IBM i-Anwendungen zur Verfügung. Der Name des Principals, der IBM i repräsentiert, lautetkrbsrv400/IBM i Hostname@REALM-NAME, wobei IBM i Hostname entweder der vollständig qualifizierteHostname oder die Kurzform des Hostnamens für die IBM i-Plattform ist. Dieser Principal-Name mussdem Kerberos-Server hinzugefügt werden, damit Kerberos-Clientanwendungen Service-Tickets anfordernund empfangen können. In den Konfigurationsszenarios hat beispielsweise der Administrator für MyCoden Service-Principal krbsvr400/[email protected] zum Kerberos-Server des Unterneh-mens hinzugefügt.

Die Vorgehensweise beim Hinzufügen des IBM i-Principals richtet sich danach, unter welchem Betriebs-system der Kerberos-Server konfiguriert wurde. Die folgenden Anweisungen betreffen das Hinzufügendes IBM i-Principals zu einem Kerberos-Server in PASE für i oder in einer Windows-Domäne. Wenn

98 IBM i: Netzwerkauthentifizierungsservice

Page 105: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

wahlweise außerdem Service-Principals für IBM Tivoli Directory Server for IBM i (LDAP), IBM i NetSer-ver, den NFS-Server (Network File System) oder den HTTP-Server erstellt wurden, müssen diese auchdem Kerberos-Server hinzugefügt werden.1. PASE für i

Wenn sich der Kerberos-Server in PASE für i befindet, können Sie IBM i-Service-Principals mit demBefehl QP2TERM hinzufügen. Dieser öffnet eine interaktive Shell-Umgebung, die Ihnen das Arbeitenmit PASE für i-Anwendungen ermöglicht. Führen Sie die folgenden Schritte durch, um einen IBM i-Service-Principal zu einem Kerberos-Server in PASE für i hinzuzufügen:a. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM ein.b. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf

die Kerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.c. Geben Sie in der Befehlszeile kadmin -p admin/admin ein.d. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.e. Geben Sie in der kadmin-Befehlszeile addprinc -pw secret krbsvr400 IBM i vollständig

qualifizierter Hostname@REALM ein, wobei secret das Kennwort für den IBM i-Service-Principalist. Hierbei kann krbsvr400/[email protected] z. B. ein gültiger Name für einen IBM i-Service-Principal sein.

2. Microsoft Active Directory.Sie haben zwei Möglichkeiten, um einen IBM i-Service-Principal zu einem Kerberos-Server hinzuzufü-gen: mit dem Assistenten für den Netzwerkauthentifizierungsservice oder manuell.Mit dem Assistenten für den Netzwerkauthentifizierungsservice können Sie wahlweise eine Stapelda-tei mit dem Namen NASConfig_localhost.bat erstellen. Diese enthält alle Principal-Namen für dieServices, die Sie während der Konfiguration ausgewählt haben. Die zugehörigen Kennwörter könnenSie ebenfalls in die Stapeldatei einfügen.

Anmerkung: Wenn Sie die Kennwörter einfügen, können diese von jedem gelesen werden, der überLesezugriff für die Stapeldatei verfügt. Es wird daher empfohlen, die Stapeldatei sofort nach Ge-brauch wieder vom Kerberos-Server und aus IBM i zu löschen. Wenn Sie keine Kennwörter in die Sta-peldatei einfügen, werden Sie zur Eingabe eines Kennworts aufgefordert, wenn die Stapeldatei aufdem Windows-Server ausgeführt wird.Vom Assistenten des Netzwerkauthentifizierungsservice generierte Stapeldatei verwenden

a. Gehen Sie als Administrator Ihres Windows-Servers wie folgt vor:1) Erweitern Sie in IBM Navigator for i auf System A den Eintrag für IBM i-Verwaltung > Datei-

systeme > Integrated File System > Root > QIBM > UserData > OS400 > iSeriesNavigator >config.

Anmerkung: /QIBM/UserData/OS400/iSeriesNavigator/config/ ist das Standardverzeichnisder Stapeldatei.

2) Klicken Sie mit der rechten Maustaste auf NASConfig_localhost.bat und wählen Sie Down-load aus.

3) Klicken Sie in der Bestätigungsanzeige zum Herunterladen auf Download.4) Speichern Sie die Datei. Sie wird daraufhin an der Speicherposition für den Download Ihres

Browsers gespeichert. Lesen Sie in der Browserdokumentation nach, wie die Position desDownloadordners geändert werden kann. Üblicherweise ist dies der Ordner Downloads.

b. Öffnen Sie auf dem Windows-Server den Ordner, in den Sie die Stapeldatei heruntergeladen ha-ben.

c. Suchen Sie die Datei NASConfig_localhost.bat und führen Sie sie durch Doppelklicken aus.d. Überprüfen Sie im Anschluss, ob der IBM i-Principal-Name dem Microsoft Active Directory hinzu-

gefügt wurde. Führen Sie dazu die folgenden Schritte durch:1) Erweitern Sie auf dem Windows-Server den Eintrag für Start > Programme > Verwaltungs-

tools > Active Directory-Benutzer und Computer > Benutzer.

Netzwerkauthentifizierungsservice 99

Page 106: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

2) Vergewissern Sie sich, dass die IBM i-Plattform über ein Benutzerkonto verfügt, indem Sie dieentsprechende Windows-Domäne auswählen.

Anmerkung: Diese Windows-Domäne muss mit dem Namen des Standard-Realms überein-stimmen, den Sie bei der Konfiguration des Netzwerkauthentifizierungsservice angegeben ha-ben.

3) Suchen Sie aus der angezeigten Benutzerliste den Namen heraus, der dem soeben hinzugefüg-ten Service-Principal entspricht.

4) Rufen Sie die Eigenschaften der Active Directory-Benutzer auf. Wählen Sie auf der Registerkar-te Delegierung die Option Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerbe-ros) aus.

Anmerkung: Dieser optionale Schritt ermöglicht es Ihrem System, den Berechtigungsnachweiseines Benutzers an andere Systeme zu delegieren oder weiterzuleiten. Folglich kann der IBM i-Service-Principal im Namen des Benutzers auf Services zuzugreifen, die sich auf mehreren Sys-temen befinden. Dies ist besonders in einem Netzwerk mit mehreren Ebenen von Vorteil.

Service-Principal manuell dem Microsoft Active Directory hinzufügen Sie können dem MicrosoftActive Directory IBM i-Principals auch manuell hinzufügen. Verwenden Sie dazu den Befehl ktpass.Dieser Befehl wird mit den Windows-Unterstützungstools ausgeliefert und muss auf dem System ins-talliert werden, das als Kerberos-Server fungiert.a. Erweitern Sie auf dem Windows-Server den Eintrag für Start > Programme > Verwaltungstools >

Active Directory-Benutzer und -Computer.b. Wählen Sie die Windows-Domäne aus, zu der Sie das IBM i-Benutzerkonto hinzufügen möchten,

und erweitern Sie Aktion > Neu > Benutzer.

Anmerkung: Diese Windows-Domäne sollte mit dem Namen des Standard-Realms übereinstim-men, den Sie bei der Konfiguration des Netzwerkauthentifizierungsservice angegeben haben.

c. Geben Sie im Feld Name einen Namen ein, der die IBM i-Plattform für diese Windows-Domäneidentifiziert. Damit wird ein neues Benutzerkonto für die IBM i-Plattform hinzugefügt. Sie könntenbeispielsweise den Namen krbsvr400systema oder httpsystema als gültiges Benutzerkonto einge-ben.

d. Rufen Sie die Eigenschaften des Active Directory-Benutzers auf, den Sie in Schritt 3 erstellt haben.Wählen Sie auf der Registerkarte Delegierung die Option Benutzer bei Delegierungen allerDienste vertrauen (nur Kerberos) aus. Damit wird dem IBM i-Service-Principal der Zugriff aufandere Services im Namen eines angemeldeten Benutzers gestattet.

e. Sie müssen das soeben erstellte Benutzerkonto mit dem Befehl ktpass dem IBM i-Service-Principalzuordnen. Führen Sie folgende Task durch, um das Benutzerkonto zuzuordnen:1) Geben Sie bei einer Eingabeaufforderung Folgendes ein:

ktpass -mapuser krbsvr400systema -pass secret -princ krbsvr400/system-domain-name@REALM-mapop set

Anmerkung: In diesem Befehl steht krbsvr400systema für den Namen des Benutzerkontos, dasin Schritt 3 erstellt wurde, und secret für das Kennwort, das Sie bei der Konfiguration desNetzwerkauthentifizierungsservice für den IBM i-Principal eingegeben haben.

Zugehörige Konzepte:„Fehler beim Netzwerkauthentifizierungsservice beheben” auf Seite 124Die vorliegenden Informationen zur Fehlerbehebung enthalten Angaben zu gelegentlich auftretenden Pro-blemen, die den Netzwerkauthentifizierungsservice, Enterprise Identity Mapping (EIM) und die von IBMgelieferten Anwendungen betreffen, die die Kerberos-Authentifizierung unterstützen.

100 IBM i: Netzwerkauthentifizierungsservice

Page 107: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Ausgangsverzeichnis erstellenNachdem Sie den IBM i-Principal zum Kerberos-Server hinzugefügt haben, müssen Sie ein Ausgangsver-zeichnis (/home) für jeden Benutzer erstellen, der eine Verbindung zu den verfügbaren IBM i-Anwendun-gen herstellt.

Dieses Verzeichnis enthält den Namen des Kerberos-Cache für Berechtigungsnachweise, der dem Benut-zer zugeordnet ist. Jeder Benutzer sollte entweder Eigner dieses Verzeichnisses sein oder über die ent-sprechende Berechtigung zum Erstellen von Dateien in diesen Verzeichnis verfügen.

Führen Sie den folgenden Schritt durch, um ein Ausgangsverzeichnis für einen Benutzer zu erstellen:1. Geben Sie in einer IBM i-Befehlszeile CRTDIR '/home/Benutzerprofil' ein, wobei Benutzerprofil das

IBM i-Benutzerprofil des Benutzers ist.

Anmerkung: Soll dieses Benutzerprofil als EIM-Zielzuordnung verwendet werden, muss das Benut-zerprofil vorhanden sein, und das Kennwort kann auf *NONE gesetzt werden.

Konfiguration des Netzwerkauthentifizierungsservice testenZum Testen der Konfiguration des Netzwerkauthentifizierungsservice müssen Sie ein Ticket-granting Ti-cket für Ihren IBM i-Principal anfordern.

Nachdem Sie die Ausgangsverzeichnisse für jeden Benutzer erstellt haben, der eine Verbindung zu denIBM i-Anwendungen herstellt, können Sie die Konfiguration des Netzwerkauthentifizierungsservice tes-ten, indem Sie ein Ticket-granting Ticket für Ihren IBM i-Principal anfordern. Bevor Sie dies tun, solltenSie sich jedoch vergewissern, ob Sie die folgenden Bedingungen erfüllt haben:v Sind alle Voraussetzungen für den Netzwerkauthentifizierungsservice erfüllt?v Ist unter dem Betriebssystem IBM i ein Ausgangsverzeichnis für den Benutzer vorhanden, der das Ti-

cket anfordert? Einzelheiten hierzu finden Sie unter „Ausgangsverzeichnis erstellen”.v Liegt Ihnen das richtige Kennwort für den IBM i-Principal vor? Dieses Kennwort wurde bei der Konfi-

guration des Netzwerkauthentifizierungsservice erstellt und sollte in Ihren Planungsarbeitsblättern ent-halten sein.

v Haben Sie den IBM i-Principal zum Kerberos-Server hinzugefügt? Einzelheiten hierzu finden Sie unter„IBM i-Principals zum Kerberos-Server hinzufügen” auf Seite 98.

Führen Sie die folgenden Schritte durch, um den Netzwerkauthentifizierungsservice zu testen:1. Geben Sie in einer Befehlszeile QSH ein, um den Qshell Interpreter zu starten.2. Geben Sie keytab list ein, um eine Liste der Principals anzuzeigen, die in der Chiffrierschlüsseldatei

registriert sind. Es sollten die folgenden Ergebnisse angezeigt werden:

Principal: krbsvr400/[email protected] version: 2Key type: 56-bit DES using key derivationEntry timestamp: 200X/05/29-11:02:58

3. Geben Sie kinit -k krbsvr400/vollständig qualifizierter Hostname@REALM-NAME ein, um vom Ker-beros-Server ein Ticket-granting Ticket anzufordern. krbsvr400/[email protected] istbeispielsweise ein gültiger Principal-Name für das System. Mit diesem Befehl wird geprüft, ob IhrSystem richtig konfiguriert wurde und das Kennwort in der Chiffrierschlüsseldatei mit dem auf demKerberos-Server gespeicherten Kennwort übereinstimmt. Wenn die Prüfung erfolgreich verläuft, dannwerden für den Befehl QSH keine Fehler ausgegeben.

4. Geben Sie klist ein, um zu prüfen, ob der Standard-Principal krbsvr400/vollständig qualifizierterHostname@REALM-NAME lautet. Mit diesem Befehl wird der Inhalt eines Kerberos-Caches für Be-rechtigungsnachweise angezeigt und geprüft, ob ein gültiges Ticket für den IBM i-Service-Principal er-stellt und in den Cache für Berechtigungsnachweise auf dem System aufgenommen wurde.

Netzwerkauthentifizierungsservice 101

Page 108: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Ticket cache: FILE:/QIBM/USERDATA/OS400/NETWORKAUTHENTICATION/creds/krbcred

Default principal: krbsvr400/[email protected]

Server: krbtgt/[email protected] 200X/06/09-12:08:45 to 20XX/11/05-03:08:45

$

Die weiteren Schritte

Enterprise Identity Mapping konfigurieren

Diese Task ist optional, wenn Sie den Netzwerkauthentifizierungsservice für Ihre eigenen Anwendungenverwenden. Die Ausführung dieser Task wird jedoch empfohlen, wenn Sie von IBM gelieferte Anwen-dungen benutzen, um eine Einzelanmeldungsumgebung zu erstellen.

Netzwerkauthentifizierungsservice verwaltenNachdem Sie den Netzwerkauthentifizierungsservice konfiguriert haben, können Sie Tickets anfordern,mit Chiffrierschlüsseldateien arbeiten und die Hostnamenauflösung verwalten. Sie können außerdem mitDateien für Berechtigungsnachweise arbeiten und Konfigurationsdateien sichern.

IBM i-Benutzer-Tasks

Die IBM i-Plattform kann auch als Client in einem Kerberos-fähigen Netzwerk fungieren. Benutzer kön-nen sich beim System anmelden und Kerberos-bezogene Tasks über den Qshell Interpreter ausführen. Fürdie folgenden allgemeinen Tasks, die von Benutzern ausgeführt werden können, werden mehrere Qshell-Befehle verwendet.v „Ausgangsverzeichnis erstellen” auf Seite 101v „Ticket-granting Tickets anfordern oder verlängern” auf Seite 106v „Kerberos-Kennwörter ändern” auf Seite 113v „Chiffrierschlüsseldateien verwalten” auf Seite 111v „Verfallene Cachedateien für Berechtigungsnachweise löschen” auf Seite 115v „Cache für Berechtigungsnachweise anzeigen” auf Seite 109v „Kerberos-Service-Einträge in LDAP-Verzeichnissen verwalten” auf Seite 117

Anmerkung: Wenn Sie den 5250-Emulator in IBM i Access Client Solutions verwenden, müssen Sie denSystemwert für Ferne Anmeldung ändern, damit Sie die Anmeldung umgehen können. Gehen Sie folgen-dermaßen vor, um den Systemwert für Ferne Anmeldung zu ändern:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Konfiguration und Service

und wählen Sie Systemwerte aus.2. Klicken Sie mit der rechten Maustaste auf Anmelden und wählen Sie Eigenschaften aus.3. Wählen Sie auf der Seite 'Fern' die Einträge Umgehen der Anmeldung zulassen und Quellen- und

Zielbenutzer-IDs müssen übereinstimmen aus und klicken Sie auf OK.

Verwaltungs-Tasks für den Netzwerkauthentifizierungsservice

Im Folgenden sind die Tasks aufgeführt, die von einem Administrator im IBM Navigator for i ausgeführtwerden können. Weitere task-bezogene Informationen finden Sie im IBM Navigator for i-Hilfetext zumNetzwerkauthentifizierungsservice.Zugehörige Tasks:

102 IBM i: Netzwerkauthentifizierungsservice

Page 109: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

„Netzwerkauthentifizierungsservice konfigurieren” auf Seite 97Im Folgenden erfahren Sie, welche Voraussetzungen zum Konfigurieren des Netzwerkauthentifizierungs-service auf Ihren System erfüllt werden müssen und welche Vorgehensweise zur Konfiguration angewen-det werden kann.

Systemzeiten synchronisierenDer Standardwert für die maximal zulässige Differenz zwischen zwei Systemzeiten beträgt im Netz-werkauthentifizierungsservice 5 Minuten (300 Sekunden). Die Differenz kann über die Eigenschaften desNetzwerkauthentifizierungsservice geändert werden.

Bevor Sie die Systemzeiten synchronisieren, stellen Sie die Systemzeit mithilfe des Systemwerts QTIM-ZON Ihrer Zeitzone entsprechend ein. Sie können diese Systemzeiten synchronisieren, indem Sie die aufdem Kerberos-Server eingestellte Uhrzeit ändern oder die IBM i-Systemzeit mit dem Systemwert QTIMEändern. Damit die Systemzeiten in einem Netzwerk synchronisiert bleiben, sollten Sie jedoch in jedemFall Simple Network Time Protocol (SNTP) konfigurieren. Mit Hilfe von SNTP können mehrere Systemeihre Uhrzeit nach einem einzigen Zeitserver ausrichten.

Führen Sie die folgenden Schritte durch, um SNTP zu konfigurieren:v Um SNTP auf einer IBM i-Plattform zu konfigurieren, geben Sie in einer Befehlszeile CHGNTPA ein.v Um auf Windows-Systemen SNTP zu konfigurieren, zeigen Sie die Konfigurationsdaten für einen

SNTP-Server mit NET HELP TIME an.Zugehörige Konzepte:Simple Network Time Protocol

Realms hinzufügenBevor Sie der IBM i-Konfiguration einen Realm hinzufügen können, muss der Kerberos-Server für denneuen Realm konfiguriert werden. Um der Task für den IBM i-Netzwerkauthentifizierungsservice einenRealm hinzuzufügen, benötigen Sie den Realm-Namen, den Namen des Kerberos-Servers und den Port,an dem er empfangsbereit ist.

Führen Sie die folgenden Schritte durch, um dem Netzwerkauthentifizierungsservice einen Realm hinzu-zufügen:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit > Alle Tasks >

Netzwerkauthentifizierungsservice.2. Klicken Sie auf Realm und wählen Sie Realm hinzufügen im Pulldown-Menü Aktionen aus.3. Geben Sie im Feld Hinzuzufügender Realm den Hostnamen des Realms an, den Sie hinzufügen

möchten. Ein gültiger Realm-Name wäre beispielsweise: MYCO.COM.4. Geben Sie den Namen des Kerberos-Servers für den Realm, den Sie hinzufügen, im Feld KDC ein.

Ein gültiger Name wäre beispielsweise: kdc1.myco.5. Geben Sie die Portnummer ein, an der der Kerberos-Server für Anforderungen empfangsbereit ist.

Gültige Portnummern liegen zwischen 1 und 65535. Der Standardport für den Kerberos-Server ist 88.6. Klicken Sie auf OK.

Realms löschenZu den Aufgaben des Netzwerkadministrators gehört das Löschen eines nicht mehr benötigten Realmsaus der Konfiguration des Netzwerkauthentifizierungsservice. Es kann auch vorkommen, dass ein Stan-dard-Realm entfernt werden muss, um den Systembetrieb nach einem Fehler in einer Anwendung, dieauf dem System integriert ist, wiederherzustellen.

Beispiel: Wenn Sie den Netzwerkauthentifizierungsservice konfiguriert haben, ohne den Kerberos-Serverim Netzwerk einzurichten, gehen QFileSvr.400 und Distributed Data Management (DDM) davon aus,

Netzwerkauthentifizierungsservice 103

Page 110: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

dass Sie die Kerberos-Authentifizierung verwenden. Bevor Sie die Authentifizierung für die genanntenProdukte einrichten, sollten Sie den Standard-Realm löschen, den Sie bei der Konfiguration des Netz-werkauthentifizierungsservice angegeben haben.

Führen Sie die folgenden Schritte durch, um einen Realm für den Netzwerkauthentifizierungsservice zulöschen:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit > Alle Tasks >

Netzwerkauthentifizierungsservice.2. Klicken Sie auf Realm.3. Klicken Sie mit der rechten Maustaste auf den Namen des Realms, den Sie löschen möchten, und

wählen Sie Löschen aus.4. Klicken Sie auf OK, um die Auswahl zu bestätigen.

Kerberos-Server zu Realm hinzufügenEin Kerberos-Server kann mithilfe des Netzwerkauthentifizierungsservice zu einem Realm hinzugefügtwerden. Vorher müssen Sie jedoch den Namen des Servers kennen und wissen, an welchem Port er emp-fangsbereit ist.

Führen Sie die folgenden Schritte durch, um einem Realm ein KDC (Key Distribution Center - Instanz zurSchlüsselverteilung) hinzuzufügen:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit > Alle Tasks >

Netzwerkauthentifizierungsservice.2. Klicken Sie auf Realm.3. Klicken Sie mit der rechten Maustaste im rechten Fensterbereich auf den Namen des Realms und

wählen Sie Eigenschaften aus.4. Geben Sie auf der Registerkarte Allgemein den Namen des Kerberos-Servers, der diesem Realm hin-

zugefügt werden soll, im Feld KDC ein. Der Kerberos-Server ist für alle Realms erforderlich. Eine gül-tige Eingabe wäre beispielsweise kdc2.myco.com.

5. Geben Sie die Portnummer ein, an der der Kerberos-Server für Anforderungen empfangsbereit ist.Gültige Portnummern liegen zwischen 1 und 65535. Der Standardport für den Kerberos-Server ist 88.

6. Klicken Sie auf Hinzufügen. Der neue Kerberos-Server erscheint in der Liste Instanzen zur Schlüssel-verteilung (KDC) für diesen Realm.

7. Klicken Sie auf OK.

Kennwortserver hinzufügenMit Hilfe des Kennwortservers können Kerberos-Principals ihr Kennwort ändern.

Derzeit wird die optionale Konfiguration eines Kennwortservers von IBM i PASE nicht unterstützt. UmKennwörter für Principals auf einem IBM i PASE-Kerberos-Server zu ändern, müssen Sie die PASE-Um-gebung aufrufen (call QP2TERM) und den Befehl kpasswd eingeben. Anhand der folgenden Anweisungenkönnen Sie die Konfiguration des Netzwerkauthentifizierungsservice aktualisieren, so dass sie auf einenzusätzlichen oder neuen Kennwortserver für den Standard-Realm zeigt. Führen Sie die folgenden Schrittedurch, um einem Realm einen Kennwortserver hinzuzufügen:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit > Netzwerkau-

thentifizierungsservice.2. Klicken Sie auf Realm.3. Klicken Sie mit der rechten Maustaste im rechten Fensterbereich auf den Namen des Realms und

wählen Sie Eigenschaften aus.4. Geben Sie auf der Registerkarte Kennwortserver den Namen des Kennwortservers ein. Ein gültiger

Name wäre beispielsweise: psvr.myco.com.

104 IBM i: Netzwerkauthentifizierungsservice

Page 111: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

5. Geben Sie die Portnummer für den Kennwortserver ein. Gültige Portnummern liegen zwischen 1 und65535. Der Standardport für den Kennwortserver ist 464.

6. Klicken Sie auf Hinzufügen. Der neue Kennwortserver wird der Liste hinzugefügt.7. Klicken Sie auf OK.Zugehörige Verweise:„kpasswd” auf Seite 115Mit dem Qshell-Befehl kpasswd wird das Kennwort für einen Kerberos-Principal geändert.

Vertrauensbeziehung zwischen Realms aufbauenDer Aufbau einer Vertrauensbeziehung ermöglicht dem Kerberos-Protokoll eine Verknüpfung mit der Au-thentifizierung.

Diese Funktion ist optional, da das Kerberos-Protokoll standardmäßig die Realm-Hierarchie nach Vertrau-ensbeziehungen durchsucht. Diese Funktion bietet sich an, wenn Realms in unterschiedlichen Domänenvorhanden sind, und dieser Prozess beschleunigt werden soll. Um sichere Realms einzurichten, muss je-der Kerberos-Server für jeden Realm einen gemeinsamen Schlüssel benutzen. Bevor eine Vertrauensbezie-hung innerhalb des Netzwerkauthentifizierungsservice aufgebaut werden kann, müssen die Kerberos-Server so konfiguriert werden, dass sie einander vertrauen. Führen Sie die folgenden Schritte durch, umeine Vertrauensbeziehung zwischen Realms aufzubauen:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit > Alle Tasks >

Netzwerkauthentifizierungsservice.2. Klicken Sie auf Realm.3. Klicken Sie mit der rechten Maustaste im rechten Fensterbereich auf den Namen des Realms und

wählen Sie Eigenschaften aus.4. Geben Sie auf der Registerkarte Sichere Realms die Namen der Realms ein, zwischen denen Sie eine

Vertrauensbeziehung aufbauen möchten. Gültige Namen für eine Vertrauensbeziehung wären bei-spielsweise: ORDEPT.MYCO.COM und SHIPDEPT.MYCO.COM.

5. Klicken Sie auf Hinzufügen. Damit wird die Vertrauensbeziehung der Tabelle hinzugefügt.6. Klicken Sie auf OK.

Hostauflösung ändernGeben Sie zur Auflösung von Hostnamen und Realm-Namen einen LDAP-Server, ein DNS (DomainName System) und statische Zuordnungen an.

Beim Netzwerkauthentifizierungsservice können ein LDAP-Server, ein Domain Name System (DNS) undstatische Zuordnungen angegeben werden, die der Konfigurationsdatei hinzugefügt werden, um Host-und Realm-Namen aufzulösen. Es können auch alle drei Methoden ausgewählt werden, um Hostnamenaufzulösen. In diesem Fall überprüft der Netzwerkauthentifizierungsservice zuerst den Directory-Server,dann die DNS-Einträge und zum Schluss die statischen Zuordnungen, um Hostnamen aufzulösen.

Führen Sie die folgenden Schritte durch, um die Methode zur Hostnamenauflösung zu ändern:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit.2. Erweitern Sie den Eintrag für Alle Tasks > Netzwerkauthentifizierungsservice und wählen Sie Ei-

genschaften aus.3. Wählen Sie auf der Seite 'Hostauflösung' entweder LDAP-Suchfunktion verwenden, DNS-Suchfunk-

tion verwenden oder Statische Zuordnungen verwenden aus.4. Wenn Sie für die Art der Hostauflösung LDAP-Suchfunktion verwenden auswählen, geben Sie den

Namen des Directory-Servers und den entsprechenden Port ein. Beispielsweise wäre ldapsrv.myco-.com ein gültiger Name für den Directory-Server. Gültige Portnummern liegen zwischen 1 und 65535.Der Standardport für den Directory-Server ist 389. Nachdem Sie angegeben haben, dass Sie zur Auflö-

Netzwerkauthentifizierungsservice 105

Page 112: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

sung von Hostnamen einen LDAP-Server verwenden wollen, müssen Sie überprüfen, ob der Realmauf dem LDAP-Server korrekt definiert wurde. Weitere Informationen hierzu finden Sie in „Realms imLDAP-Server definieren” auf Seite 121.

5. Wenn Sie für die Art der Hostauflösung DNS-Suchfunktion verwenden auswählen, muss DNS fürdie Zuordnung von Realm-Namen konfiguriert sein. Nachdem Sie angegeben haben, dass Sie zurAuflösung von Hostnamen einen DNS-Server verwenden wollen, müssen Sie überprüfen, ob der Re-alm im DNS korrekt definiert wurde. Weitere Informationen hierzu finden Sie in „Realms in der DNS-Datenbank definieren” auf Seite 120.

6. Wenn Sie für die Art der Hostauflösung Statische Zuordnungen verwenden auswählen, geben Sieden Realm-Namen und den entsprechenden DNS-Namen ein. Beispielsweise könnte der Hostnamemypc.mycompanylan.com und der Realm-Name MYCO.COM lauten. Sie können einem bestimmtenRealm auch generische Hostnamen zuordnen. Beispiel: Wenn alle Maschinen, die mit myco.lan.comenden, Mitglieder im Realm MYCO.COM sind, könnten Sie myco.lan.com als DNS-Name und MYCO-.COM als Realm eingeben. Dadurch wird in der Konfigurationsdatei eine Zuordnung zwischen demRealm-Namen und dem DNS-Namen erstellt. Klicken Sie auf Hinzufügen, um eine statische Zuord-nung zwischen dem DNS- und dem Realm-Namen in der Konfigurationsdatei zu erstellen.

7. Nachdem Sie die zugehörigen Informationen für die ausgewählte Art der Hostauflösung eingegebenhaben, klicken Sie auf OK.

Einstellungen für Verschlüsselung hinzufügenEs können Verschlüsselungsarten für Ticket-granting Tickets (TGT) und Ticket-granting Service (TGS) aus-gewählt werden.

Die Verschlüsselung verdeckt Daten, die über ein Netzwerk gesendet werden, indem sie deren Identifizie-rung verhindert. Ein Client verschlüsselt Daten und der Server entschlüsselt sie. Um sicherzustellen, dassdie Verschlüsselung richtig funktioniert, müssen Sie die dieselbe Verschlüsselungsart verwenden, die aufdem Kerberos-Server oder der anderen übertragenden Anwendung angegeben ist. Wenn diese Verschlüs-selungsarten nicht übereinstimmen, findet keine Verschlüsselung statt. Sie können sowohl für TGT alsauch für TGS Verschlüsselungswerte hinzufügen.

Anmerkung: Die Standardverschlüsselungswerte für TGT und TGS lauten des-cbc-crc bzw. des-cbc-md5.Die Standardwerte für die Verschlüsselung werden bei der Konfiguration festgelegt. Sie können derKonfiguration andere Werte für Tickets hinzufügen, indem Sie die folgenden Schritte durchführen:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit.2. Erweitern Sie den Eintrag für Alle Tasks > Netzwerkauthentifizierungsservice und wählen Sie Ei-

genschaften aus.3. Wählen Sie auf der Seite 'Tickets' den Verschlüsselungswert aus der Liste der verfügbaren Verschlüs-

selungsarten für das Ticket-granting Ticket oder den Ticket-granting Service aus.4. Klicken Sie entweder auf Hinzufügen vor oder Hinzufügen nach, um die Verschlüsselungsart der

Liste der ausgewählten Verschlüsselungsarten hinzuzufügen. Jede der ausgewählten Verschlüsselungs-arten wird entsprechend der Reihenfolge in der Liste ausprobiert. Wenn eine Verschlüsselungsart nichtfunktioniert, wird die nächste versucht.

5. Klicken Sie auf OK.

Ticket-granting Tickets anfordern oder verlängernMit dem Befehl kinit wird ein Kerberos-Ticket-granting Ticket angefordert oder verlängert. Sie könnenzum Anfordern und Zwischenspeichern von Ticket-granting Tickets auch den CL-Befehl ADDKRBTKT(Kerberos-Ticket hinzufügen) verwenden.

Befehl kinit

Wird der Befehl kinit ohne Ticketoptionen angegeben, gelten die in der Kerberos-Konfiguration angege-benen Optionen für den Kerberos-Server.

106 IBM i: Netzwerkauthentifizierungsservice

Page 113: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Wird ein vorhandenes Ticket nicht mehr verlängert, wird der Cache für Berechtigungsnachweise erneutinitialisiert und erhält das neue, vom Kerberos-Server empfangene Ticket-granting Ticket. Wird in der Be-fehlszeile kein Principal-Name angegeben, wird der Name dem Cache für Berechtigungsnachweise ent-nommen. Der neue Cache für Berechtigungsnachweise wird zum Standardcache für Berechtigungsnach-weise, es sei denn, der Cachename wird über die Option -c angegeben.

Ticket-Zeitwerte werden im Format nwndnhnmns ausgedrückt, wobei n für eine Zahl, w für Wochen, d fürTage, h für Stunden, m für Minuten und s für Sekunden steht. Die Komponenten müssen zwar in der ge-nannten Reihenfolge angegeben werden, einzelne Komponenten können aber weggelassen werden (4h5msteht beispielsweise für 4 Stunden und 5 Minuten, 1w2h für 1 Woche und 2 Stunden). Wird nur eine Zahlangegeben, gilt "Stunden" als Standardwert.

Führen Sie einen der folgenden Schritte durch, um ein Ticket-granting Ticket mit einer Laufzeit von 5Stunden für den Principal jday anzufordern:v Geben Sie in der Qshell-Befehlszeile kinit -l 5h Jday ein.v Geben Sie in einer CL-Befehlszeile von IBM i call qsys/qkrbkinit parm('-l' '5h' 'jday') ein.

Die Hinweise zur Verwendung von kinit für diesen Qshell-Befehl enthalten weitere Informationen zurSyntax und zu den geltenden Einschränkungen.

Befehl ADDKRBTKT (Kerberos-Ticket hinzufügen)

Sie können in der IBM i-Befehlszeile den CL-Befehl ADDKRBTKT eingeben, um Ticket-granting Tickets anzu-fordern. Um beispielsweise ein weiterleitbares Ticket mit dem Principal krbsrv400/jday.myco.com unddem Standard-Realm hinzuzufügen, müssen Sie folgenden Befehl eingeben:

ADDKRBTKT PRINCIPAL('krbsrv400/jday.myco.com') PASSWORD('mypwd') ALWFWD(*YES)

Zugehörige Verweise:Befehl ADDKRBTKT (Kerberos-Ticket hinzufügen)

kinitMit dem Qshell-Befehl kinit wird ein Kerberos-Ticket-granting Ticket angefordert oder erneuert.

Syntax

kinit [-r Zeit] [-R] [-p] [-f] [-A] [-l Zeit] [-c Cache] [-k] [-t Chiffrierschlüssel][Principal]

Standardwert für allgemeine Berechtigung: *USE

Optionen

-r ZeitDas Zeitintervall für die Erneuerung eines Tickets. Nach Ablauf dieses Intervalls kann das Ticketnicht mehr erneuert werden. Diese Erneuerungszeit muss größer sein als die Endzeit. Wird diese Op-tion nicht angegeben, ist das Ticket nicht erneuerbar (dennoch kann weiterhin ein erneuerbares Ticketgeneriert werden, sofern die angeforderte Laufzeit die maximale Laufzeit des Tickets übersteigt).

-R Ein vorhandenes Ticket soll erneuert werden. Wenn Sie ein vorhandenes Ticket erneuern, können Siekeine weiteren Ticketoptionen angeben.

-p Das Ticket kann ein Proxy sein. Wird diese Option nicht angegeben, kann das Ticket kein Proxy sein.

-f Das Ticket kann weitergeleitet werden. Wird diese Option nicht angegeben, kann das Ticket nichtweitergeleitet werden.

-A Das Ticket enthält keine Liste mit Clientadressen. Wird diese Option nicht angegeben, enthält das Ti-

Netzwerkauthentifizierungsservice 107

Page 114: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

cket eine Liste mit den lokalen Hostadressen. Wenn ein ursprüngliches Ticket eine Adressliste enthält,kann es nur an einer der in dieser Liste enthaltenen Adressen verwendet werden.

-l ZeitDas Endzeitintervall für das Ticket. Wenn dieses Intervall abgelaufen ist, kann das Ticket nicht mehrverwendet werden, es sei denn, es wird erneuert. Wird diese Option nicht angegeben, wird das Inter-vall auf 10 Stunden gesetzt.

-c CacheDer Name des Caches für Berechtigungsnachweise, der vom Befehl kinit verwendet wird. Wird dieseOption nicht angegeben, verwendet der Befehl den Standardcache für Berechtigungsnachweise.

-k Der Schlüssel für den Ticket-Principal wird einer Chiffrierschlüsseltabelle entnommen. Wird diese Op-tion nicht angegeben, werden Sie vom System zur Eingabe des Kennworts für den Ticket-Principalaufgefordert.

-t ChiffrierschlüsselDer Name der Chiffrierschlüsseltabelle. Wird diese Option nicht angegeben, aber die Option -k ange-ben, verwendet das System die Standardschlüsseldatei. Die Option -t impliziert die Option -k.

PrincipalDer Ticket-Principal. Wird in der Befehlszeile kein Principal angegeben, wird der Principal demCache für Berechtigungsnachweise entnommen.

Berechtigungen

Referenzobjekt Erforderliche Berechtigung

Jedes Verzeichnis im Pfadnamen, das der Chiffrierschlüsseldatei vorangeht,wenn die Option -t angegeben wird

*X

Chiffrierschlüsseldatei, wenn -t angegeben wird *R

Jedes Verzeichnis im Pfadnamen, das dem zu verwendenden Cache fürBerechtigungsnachweise vorangeht

*X

Parent-Verzeichnis der Cachedatei, wenn diese von derUmgebungsvariablen KRB5CCNAME angegeben und die Datei erstelltwird

*WX

Cachedatei für Berechtigungsnachweise *RW

Jedes Verzeichnis in den Pfaden zu den Konfigurationsdateien *X

Konfigurationsdateien *R

Damit zur Kerberos-Ausführungszeit die Cachedatei für Berechtigungsnachweise von jedem ausführen-den Prozess gefunden werden kann, wird der Name der Cachedatei normalerweise im Ausgangsverzeich-nis unter dem Dateinamen krb5ccname gespeichert. Die Speicherposition der Cachedatei kann durch Set-zen der Umgebungsvariablen _EUV_SEC_KRB5CCNAME_FILE überschrieben werden. Um auf dieseDatei zugreifen zu können, benötigt das Benutzerprofil die Berechtigung *X für jedes Verzeichnis im Pfadund die Berechtigung *R für die Datei, in der der Cachename gespeichert ist. Wenn der Benutzer erstma-lig einen Cache für Berechtigungsnachweise erstellt, benötigt das Benutzerprofil die Berechtigung *WXfür das Parent-Verzeichnis.

Nachrichtenv Für die Option Optionsname ist ein Wert erforderlich.v Befehlsoption ist keine gültige Befehlsoption.v Beim Erneuern oder Überprüfen von Tickets sind keine Optionen zulässig.v Name des Standardcaches für Berechtigungsnachweise kann nicht abgerufen werden.v Cache für Berechtigungsnachweise Dateiname kann nicht aufgelöst werden.

108 IBM i: Netzwerkauthentifizierungsservice

Page 115: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Kein ursprüngliches Ticket verfügbar.v Name des Principals muss angegeben werden.v Ticket kann nicht aus Cache für Berechtigungsnachweise Dateiname abgerufen werden.v Ursprüngliches Ticket ist nicht erneuerbar.v Option Optionswert ist für Anforderung Anforderungsname nicht gültig.v Ursprüngliche Berechtigungsnachweise können nicht abgerufen werden.v Name des Principals kann nicht syntaktisch analysiert werden.v Chiffrierschlüsseltabelle Dateiname kann nicht aufgelöst werden.v Kennwort für Principal-Name ist falsch.v Kennwort kann nicht gelesen werden.v Ursprüngliche Berechtigungsnachweise können nicht im Cache für Berechtigungsnachweise Dateiname

gespeichert werden.v Der Zeitdeltawert ist ungültig.

Unter "Ticket-granting Tickets anfordern oder verlängern" finden Sie ein Beispiel für die Verwendungs-weise dieses Befehls.

Cache für Berechtigungsnachweise anzeigenMit dem Befehl klist wird der Inhalt eines Kerberos-Cache für Berechtigungsnachweise angezeigt. Siekönnen zum Anzeigen der Einträge im lokalen Cache für Berechtigungsnachweise auch den CL-BefehlDSPKRBCCF (Kerberos-Cachedatei für Berechtigungsnachweise anzeigen) verwenden.

Befehl klist

Führen Sie einen der folgenden Schritte durch, um alle Einträge im Standardcache für Berechtigungsnach-weise aufzulisten und die Ticketmarkierungen anzuzeigen:v Geben Sie in einer Qshell-Befehlszeile klist -f -a ein.v Geben Sie in einer CL-Befehlszeile von IBM i call qsys/qkrbklist parm('-f' '-a') ein.

Die Hinweise zur Verwendung von klist für diesen Qshell-Befehl enthalten weitere Informationen zurSyntax und zu den geltenden Einschränkungen.

Befehl DSPKRBCCF (Kerberos-Cachedatei für Berechtigungsnachweise anzeigen)

In einer CL-Befehlszeile von IBM i können Sie auch den Befehl DSPKRBCCF (Kerberos-Cachedatei fürBerechtigungsnachweise anzeigen) verwenden, um den Cache für Berechtigungsnachweise anzuzeigen.Um beispielsweise die Datei für den Standardcache für Berechtigungsnachweise anzuzeigen, müssen Sieden folgenden Befehl eingeben:

DSPKRBCCF CCF(*DFT) OUTPUT(*)

Zugehörige Verweise:Befehl DSPKRBCCF (Kerberos-Cachedatei für Berechtigungsnachweise anzeigen)

klistMit dem Befehl klist wird der Inhalt eines Kerberos-Cache für Berechtigungsnachweise oder einer Chiff-rierschlüsseldatei angezeigt.

Syntax

klist [-a] [-e] [-c] [-f] [-s] [-k] [-t] [-K] [Dateiname]

Standardwert für allgemeine Berechtigung: *USE

Netzwerkauthentifizierungsservice 109

Page 116: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Optionen

-a Alle Tickets im Cache für Berechtigungsnachweise (einschließlich abgelaufener Tickets) anzeigen.Wird diese Option nicht angegeben, werden abgelaufene Tickets nicht aufgelistet. Diese Option istnur gültig, wenn der Inhalt eines Caches für Berechtigungsnachweise aufgelistet wird.

-e Die Verschlüsselungsart für den Sitzungsschlüssel und das Ticket anzeigen. Diese Option ist nur gül-tig, wenn der Inhalt eines Caches für Berechtigungsnachweise aufgelistet wird.

-c Die Tickets in einem Cache für Berechtigungsnachweise auflisten. Wird weder die Option -c noch dieOption -k angegeben, ist dies der Standardwert. Diese Option und die Option -k schließen sich ge-genseitig aus.

-f Die Ticketmarkierungen unter Verwendung der folgenden Abkürzungen anzeigen:

Abkürzung BedeutungF Ticket kann weitergeleitet werdenf Weitergeleitetes TicketP Ticket kann ein Proxy seinp Proxy-TicketD Ticket kann rückdatiert werdend Rückdatiertes TicketR Erneuerbares TicketI Ursprüngliches Ticketi Ticket ungültigA Vorab-Authentifizierung verwendetO Server kann Delegierter seinC Transitliste vom Kerberos-Server überprüft

Diese Option ist nur gültig, wenn der Inhalt eines Caches für Berechtigungsnachweise aufgelistetwird.

-s Befehlsausgabe unterdrücken, aber Exitstatus auf 0 setzen, wenn im Cache für Berechtigungsnachwei-se ein gültiges Ticket-granting Ticket gefunden wird. Diese Option ist nur gültig, wenn der Inhalt ei-nes Caches für Berechtigungsnachweise aufgelistet wird.

-k Die Einträge einer Chiffrierschlüsseltabelle auflisten. Diese Option und die Option -c schließen sichgegenseitig aus.

-t Zeitmarken für Chiffrierschlüsseltabelleneinträge anzeigen. Diese Option ist nur gültig, wenn der In-halt einer Chiffrierschlüsseltabelle aufgelistet wird.

-K Den Chiffrierschlüsselwert für jeden Chiffrierschlüsseltabelleneintrag anzeigen. Diese Option ist nurgültig, wenn der Inhalt einer Chiffrierschlüsseltabelle aufgelistet wird.

DateinameGibt den Namen des Caches für Berechtigungsnachweise oder der Chiffrierschlüsseltabelle an. Wirdkein Dateiname angegeben, wird der Standardcache für Berechtigungsnachweise oder die Standard-chiffrierschlüsseltabelle verwendet.

Berechtigungen

Referenzobjekt Erforderliche Berech-tigung

Jedes Verzeichnis im Pfadnamen, das der Datei vorangeht, wenn die Option -k angegebenwird

*X

Chiffrierschlüsseldatei, wenn -k angegeben wird *R

Jedes Verzeichnis im Pfadnamen, das dem Cache für Berechtigungsnachweise vorangeht,wenn die Option -k nicht angegeben wird

*X

110 IBM i: Netzwerkauthentifizierungsservice

Page 117: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Referenzobjekt Erforderliche Berech-tigung

Cache für Berechtigungsnachweise, wenn die Option -k nicht angegeben wird *R

Damit zur Kerberos-Ausführungszeit die Cachedatei für Berechtigungsnachweise von jedem laufendenProzess gefunden werden kann, wird der Name der Cachedatei normalerweise im Ausgangsverzeichnisunter dem Dateinamen krb5ccname gespeichert. Die Speicherposition der Cachedatei kann durch Setzender Umgebungsvariablen _EUV_SEC_KRB5CCNAME_FILE überschrieben werden. Um auf diese Dateizugreifen zu können, benötigt das Benutzerprofil die Berechtigung *X für jedes Verzeichnis im Pfad unddie Berechtigung *R für die Datei, in der der Cachename gespeichert ist. Wenn der Benutzer erstmalig ei-nen Cache für Berechtigungsnachweise erstellt, benötigt das Benutzerprofil die Berechtigung *WX für dasParent-Verzeichnis.

Nachrichtenv Für die Option Optionsname ist ein Wert erforderlich.v Befehlsoption ist keine gültige Befehlsoption.v Befehlsoption eins und Befehlsoption zwei können nicht gemeinsam angegeben werden.v Kein Standardcache für Berechtigungsnachweise gefunden.v Cache für Berechtigungsnachweise Dateiname kann nicht aufgelöst werden.v Name des Principals kann nicht aus Cache für Berechtigungsnachweise Dateiname abgerufen werden.v Ticket kann nicht aus Cache für Berechtigungsnachweise Dateiname abgerufen werden.v Ticket kann nicht dekodiert werden.v Keine Standardchiffrierschlüsseltabelle gefunden.v Chiffrierschlüsseltabelle Dateiname kann nicht aufgelöst werden.

Unter "Cache für Berechtigungsnachweise anzeigen" finden Sie ein Beispiel für die Verwendungsweisedieses Befehls.

Chiffrierschlüsseldateien verwaltenDie Chiffrierschlüsseldatei kann entweder über die zeichenbasierte Schnittstelle oder mit dem IBM Navi-gator for i verwaltet werden.

Als Netzwerkadministrator sind Sie für die Verwaltung der Chiffrierschlüsseldatei, die auch als Chiffrier-schlüsseltabelle bezeichnet wird, und ihres Inhalts unter dem Betriebssystem IBM i verantwortlich. ZurVerwaltung der Chiffrierschlüsseldatei und der zugehörigen Einträge können Sie entweder die zeichenba-sierte Schnittstelle oder den IBM Navigator for i verwenden.

Chiffrierschlüsseldateien mit der zeichenbasierten Schnittstelle verwalten

v Mit dem Befehl keytab werden Schlüssel zu einer Chiffrierschlüsseltabelle hinzugefügt, aus dieser ge-löscht oder in dieser aufgelistet. Führen Sie einen der folgenden Schritte durch, um beispielsweise ei-nen Schlüssel für den Service-Principal krbsvr400 auf dem Host kdc1.myco.com im Realm MYCO.COMhinzuzufügen:– Geben Sie in einer Qshell-Befehlszeile keytab add krbsvr400/[email protected] ein.– Geben Sie in einer CL-Befehlszeile von IBM i call qsys/qkrbkeytab parm('add'

'krbsvr400/[email protected]') ein.Sie werden aufgefordert, das Kennwort einzugeben, das verwendet wurde, als der Service für den Ker-beros-Server definiert wurde.Die Hinweise zur Verwendung von keytab für diesen Qshell-Befehl enthalten weitere Informationenzur Syntax und zu den geltenden Einschränkungen.

Netzwerkauthentifizierungsservice 111

Page 118: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v In der CL-Befehlszeile können Sie auch die Befehle ADDKRBKTE (Kerberos-Schlüsseleintrag hinzu-fügen), DSPKRBKTE (Schlüsseleinträge anzeigen) und RMVKRBKTE (Kerberos-Schlüsseleintragentfernen) verwenden, um die Chiffrierschlüsseldateien zu verwalten.

Chiffrierschlüsseldateien mit IBM Navigator for i verwalten

Sie können auch den IBM Navigator for i verwenden, um der Chiffrierschlüsseltabelle Chiffrierschlüsse-leinträge hinzuzufügen. Mit Hilfe des IBM Navigator for i können Sie Chiffrierschlüsseleinträge für diefolgenden Services hinzufügen:v IBM i-Kerberos-Authentifizierungv LDAPv IBM HTTP-Serverv IBM i NetServerv NFS-Server

Führen Sie die folgenden Schritte durch, um der Chiffrierschlüsseldatei einen Chiffrierschlüsseleintraghinzuzufügen:1. Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Sicherheit.2. Erweitern Sie den Eintrag für Alle Tasks > Netzwerkauthentifizierungsservice und wählen Sie Chiff-

rierschlüssel verwalten aus. Damit wird ein Teil des Assistenten für den Netzwerkauthentifizierungs-service gestartet, der Ihnen das Hinzufügen von Chiffrierschlüsseleinträgen ermöglicht.

3. Wählen Sie auf der Seite 'Chiffrierschlüsseleinträge auswählen' die Servicetypen aus, für die Chiffrier-schlüsseleinträge hinzugefügt werden sollen, beispielsweise für die IBM i-Kerberos-Authentifizierung.Klicken Sie auf Weiter.

4. Geben Sie auf der Seite 'IBM i-Chiffrierschlüsseleintrag erstellen' ein Kennwort ein, und bestätigen Siees. Dieses Kennwort sollte mit demjenigen übereinstimmen, das Sie verwenden, wenn Sie dem Kerbe-ros-Server den zugeordneten Service-Principal hinzufügen. Falls Sie in Schritt 3 einen anderen Service-typ, wie beispielsweise LDAP, HTTP-Server, IBM i NetServer oder NFS-Server ausgewählt haben, wer-den außerdem Seiten angezeigt, auf denen Sie Chiffrierschlüsseleinträge für diese Services erstellenkönnen.

5. Die Seite 'Zusammenfassung' enthält die Liste der IBM i-Services und -Service-Principals, die derChiffrierschlüsseldatei als Chiffrierschlüsseleinträge hinzugefügt werden.

Zugehörige Verweise:Befehl ADDKRBKTE (Kerberos-Schlüsseleintrag hinzufügen)Befehl DSPKRBKTE (Schlüsseleinträge anzeigen)Befehl RMVKRBKTE (Kerberos-Schlüsseleintrag entfernen)

keytabMit dem Qshell-Befehl keytab wird eine Chiffrierschlüsseltabelle verwaltet.

Syntax

keytab add principal [-p Kennwort] [-v Version] [-k Chiffrierschlüssel] keytab delete principal[-v Version] [-k Chiffrierschlüssel] keytab list [Principal] [-k Chiffrierschlüssel]

Standardwert für allgemeine Berechtigung: *USE

Optionen

-k Der Name der Chiffrierschlüsseltabelle. Wird diese Option nicht angegeben, wird die Standardchiff-rierschlüsseltabelle verwendet.

-p Das Kennwort angeben. Wird diese Option nicht angegeben, werden die Benutzer zur Eingabe desKennworts aufgefordert, wenn sie der Chiffrierschlüsseltabelle einen Eintrag hinzufügen.

112 IBM i: Netzwerkauthentifizierungsservice

Page 119: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

-v Die Versionsnummer des Schlüssels. Wird diese Option beim Hinzufügen eines Schlüssels nicht ange-geben, wird die nächste Versionsnummer zugeordnet. Wird diese Option beim Löschen eines Schlüs-sels nicht angegeben, werden alle Schlüssel für den Principal gelöscht.

PrincipalDer Name des Principals. Wird diese Option beim Auflisten der Chiffrierschlüsseltabelle nicht ange-geben, werden alle Principals angezeigt.

Berechtigungen

Referenzobjekt Erforderliche Berechtigung

Jedes Verzeichnis im Pfadnamen, das der zu öffnenden Ziel-Chiffrierschlüsseldatei vorangeht

*X

Parent-Verzeichnis der Ziel-Chiffrierschlüsseldatei, wenn "add" angegeben wirdund die Chiffrierschlüsseldatei noch nicht vorhanden ist

*WX

Chiffrierschlüsseldatei, wenn "list" angegeben wird *R

Zielchiffrierschlüsseldatei, wenn "add" oder "delete" angegeben wird *RW

Jedes Verzeichnis in den Pfaden zu den Konfigurationsdateien *X

Konfigurationsdateien *R

Nachrichtenv add, delete, list oder merge angeben.v Befehlsoption ist keine gültige Befehlsoption.v Befehlsoption eins und Befehlsoption zwei können nicht gemeinsam angegeben werden.v Option Optionswert ist für Anforderung Anforderungsname nicht gültig.v Für die Option Optionsname ist ein Wert erforderlich.v Name des Principals kann nicht syntaktisch analysiert werden.v Der Name des Principals muss angegeben werden.v Kennwort kann nicht gelesen werden.v Keine Standardchiffrierschlüsseltabelle gefunden.v Chiffrierschlüsseltabelle Chiffrierschlüsseltabelle kann nicht aufgelöst werden.v Eintrag aus Chiffrierschlüsseltabelle Chiffrierschlüsseltabelle kann nicht gelesen werden.v Eintrag aus Chiffrierschlüsseltabelle Chiffrierschlüsseltabelle kann nicht entfernt werden.v Eintrag kann Chiffrierschlüsseltabelle Chiffrierschlüsseltabelle nicht hinzugefügt werden.v Keine Einträge für Principal Name des Principals gefunden.v Wert ist keine gültige Zahl.v Die Schlüsselversion muss zwischen 1 und 255 liegen.v Schlüsselversion Schlüsselversion für Principal Name des Principals nicht gefunden.

Unter "Chiffrierschlüsseldateien verwalten" finden Sie ein Beispiel für die Verwendungsweise dieses Be-fehls.

Kerberos-Kennwörter ändernMit dem Befehl kpasswd wird das Kennwort für den angegebenen Kerberos-Principal mithilfe des Kenn-wortänderungsservice geändert. Sie können zum Ändern der Kerberos-Kennwörter auch den CL-BefehlCHGKRBPWD (Kerberos-Kennwort ändern) verwenden.

Netzwerkauthentifizierungsservice 113

Page 120: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Befehl kpasswd

Sie müssen sowohl das aktuelle als auch das neue Kennwort für den Principal angeben. Der Kennwort-server wendet alle gültigen Kennwortrichtlinien auf das neue Kennwort an, bevor das bestehende geän-dert wird. Der Kennwortserver wird bei der Installation und Konfiguration des Kerberos-Servers konfigu-riert. Weitere Informationen finden Sie in der Dokumentation zu diesem System.

Anmerkung: Von IBM i PASE wird kein Kennwortserver unterstützt. Um ein Kennwort für einen Princi-pal zu ändern, das auf dem Kerberos-Server gespeichert ist, müssen Sie die PASE-Umgebung aufrufen(call QP2TERM) und den Befehl kpasswd eingeben.

Der Name des Kennwortservers kann bei der Konfiguration des Netzwerkauthentifizierungsservice ange-geben werden. Wenn bei der Konfiguration kein Name angegeben wurde, kann ein Kennwortserver hin-zugefügt werden.

Es ist nicht zulässig, mit dem Befehl kpasswd das Kennwort für einen Ticket-granting Service-Principal(krbtgt/realm) zu ändern.

Führen Sie die folgenden Schritte durch, um das Kennwort für den Standard-Principal zu ändern:v Geben Sie in einer Qshell-Befehlszeile kpasswd ein.v Geben Sie in einer Befehlszeile call qsys/qkrbkpsswd ein.

Führen Sie die folgenden Schritte durch, um das Kennwort für einen anderen Principal zu ändern:v Geben Sie in einer Qshell-Befehlszeile kpasswd [email protected] ein.

Führen Sie die folgenden Schritte durch, um in PASE für i das Kennwort für einen anderen Principal zuändern:

In der zeichenbasierten Schnittstelle:

1. Geben Sie in einer zeichenbasierten Schnittstelle call QP2TERM ein. Mit diesem Befehl wird eine inter-aktive Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit PASE für i-Anwendungen ermöglicht.

2. Geben Sie in der Befehlszeile export PATH=$PATH:/usr/krb5/sbin ein. Dieser Befehl verweist auf dieKerberos-Scripts, die zur Ausführung der ausführbaren Dateien benötigt werden.

3. Geben Sie bei der QSH-Eingabeaufforderung kadmin -p admin/admin ein. Drücken Sie die Eingabetas-te.

4. Melden Sie sich mit dem Benutzernamen und dem Kennwort des Administrators an.5. Geben Sie kpasswd [email protected] ein. Sie werden aufgefordert, das Kennwort für diesen Principal zu

ändern.

In einer Befehlszeile:

Geben Sie in einer Befehlszeile call qsys/qkrbkpsswd parm ('[email protected]') ein.

Weitere Informationen zur Benutzung dieses Befehls finden Sie unter den Hinweisen zur Verwendung fürden Befehl passwd.

Befehl CHGKRBPWD (Kerberos-Kennwort ändern)

In der IBM i-Befehlszeile können Sie auch den Befehl CHGKRBPWD (Kerberos-Kennwort ändern) ver-wenden, um Kerberos-Kennwörter zu ändern. Für den Kerberos-Principal jday im Realm myco.com kön-nen Sie beispielsweise den folgenden Befehl eingeben, um das Kennwort von "myoldpwd" in "mynewp-wd" zu ändern:

CHGKRBPWD PRINCIPAL('jday' myco.com) CURPWD('myoldpwd') NEWPWD('mynewpwd') VFYPWD('mynewpwd')

114 IBM i: Netzwerkauthentifizierungsservice

Page 121: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Zugehörige Verweise:Befehl CHGKRBPWD (Kerberos-Kennwort ändern)

kpasswdMit dem Qshell-Befehl kpasswd wird das Kennwort für einen Kerberos-Principal geändert.

Syntax

kpasswd [-A ] [Principal]

Standardwert für allgemeine Berechtigung: *USE

Optionen

-A Das von dem Befehl kpasswd verwendete ursprüngliche Ticket enthält keine Liste mit Clientadressen.Das Ticket enthält eine Liste mit lokalen Hostadressen, wenn diese Option nicht angegeben wird.Wenn ein ursprüngliches Ticket eine Adressliste enthält, kann es nur an einer der in dieser Liste ent-haltenen Adressen verwendet werden.

PrincipalDer Principal, dessen Kennwort geändert werden soll. Der Principal wird dem Standardcache für Be-rechtigungsnachweise entnommen, wenn der Principal nicht in der Befehlszeile angegeben wird.

Nachrichtenv Principal %3$s ist ungültig.v Standardcache für Berechtigungsnachweise Dateiname kann nicht gelesen werden.v Es ist kein Standardcache für Berechtigungsnachweise vorhanden.v Ticket kann nicht aus Cache für Berechtigungsnachweise Dateiname abgerufen werden.v Kennwort kann nicht gelesen werden.v Kennwortänderung abgebrochen.v Kennwort für Principal-Name ist falsch.v Ursprüngliches Ticket kann nicht abgerufen werden.v Anforderung zum Ändern des Kennworts fehlgeschlagen.

Unter "Kerberos-Kennwörter ändern" finden Sie ein Beispiel für die Verwendungsweise dieses Befehls.

Verfallene Cachedateien für Berechtigungsnachweise löschenMit dem Befehl kdestroy wird eine Kerberos-Cachedatei für Berechtigungsnachweise gelöscht. Sie könnenzum Löschen des Caches für Berechtigungsnachweise auch den CL-Befehl DLTKRBCCF(Kerberos-Cachedatei für Berechtigungsnachweise löschen) verwenden. Alte Berechtigungsnachweisemüssen von den Benutzern regelmäßig gelöscht werden.

Befehl kdestroy

Bei Angabe der Option -e überprüft der Befehl kdestroy alle Cachedateien für Berechtigungsnachweise imStandardcacheverzeichnis (/QIBM/UserData/OS400/NetworkAuthentication/creds). Alle Dateien, die nurverfallene Tickets enthalten, die seit dem Erreichen des Werts für das Zeitdelta abgelaufen sind, werdengelöscht. Das Zeitdelta wird im Format nwndnhnmns ausgedrückt, wobei n für eine Zahl, w für Wochen, dfür Tage, h für Stunden, m für Minuten und s für Sekunden steht. Die Komponenten müssen zwar in dergenannten Reihenfolge angegeben werden, einzelne Komponenten können aber weggelassen werden(4h5m steht beispielsweise für 4 Stunden und 5 Minuten, 1w2h für 1 Woche und 2 Stunden). Wird nureine Zahl angegeben, gilt "Stunden" als Standardwert.1. Gehen Sie wie folgt vor, um den Standardcache für Berechtigungsnachweise zu löschen:

v Geben Sie in einer Qshell-Befehlszeile kdestroy ein.

Netzwerkauthentifizierungsservice 115

Page 122: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

v Geben Sie in einer CL-Befehlszeile von IBM i den Befehl call qsys/qkrbkdstry ein.2. Führen Sie die folgenden Schritte aus, um alle Cachedateien für Berechtigungsnachweise zu löschen,

die verfallene Tickets enthalten, die älter sind als einen Tag:v Geben Sie in einer Qshell-Befehlszeile kdestroy -e 1d ein.v Geben Sie in einer CL-Befehlszeile call qsys/qkrbkdstry parm ('-e' '1d') ein.

Die Hinweise zur Verwendung von kdestroy für diesen Qshell-Befehl enthalten weitere Informationenzur Syntax und zu den geltenden Einschränkungen.

Befehl DLTKRBCCF (Kerberos-Cachedatei für Berechtigungsnachweise löschen)

Sie können in der IBM i-Befehlszeile den Befehl DLTKRBCCF eingeben, um den Cache für Berechtigungs-nachweise zu löschen.

Geben Sie DLTKRBCCF CCF(*DFT) ein, um den Standardcache für Berechtigungsnachweise zu löschen.

Um alle Dateien des Caches für Berechtigungsnachweise zu löschen, deren abgelaufene Tickets älter als 1Tag sind, müssen Sie DLTKRBCCF CCF(*EXPIRED) EXPTIME(1440) eingeben.Zugehörige Verweise:Befehl DLTKRBCCF (Kerberos-Cachedatei für Berechtigungsnachweise löschen)

kdestroyMit dem Qshell-Befehl kdestroy wird ein Kerberos-Cache für Berechtigungsnachweise gelöscht.

Syntax

kdestroy [-c Cachename] [-e Zeitdelta]

Standardwert für allgemeine Berechtigung: *USE

Optionen

-c CachenameDer Name des Caches für Berechtigungsnachweise, der gelöscht werden soll. Wenn keine Befehlsopti-onen angegeben werden, wird der Standardcache für Berechtigungsnachweise gelöscht. Diese Optionund die Option -e schließen sich gegenseitig aus.

-e ZeitdeltaAlle Cachedateien für Berechtigungsnachweise, die abgelaufene Tickets enthalten, werden gelöscht,sofern das Verfallsdatum der Tickets mindestens so lange zurückliegt wie der Wert für Zeitdelta.

Berechtigungen

Wenn der Typ des Caches für Berechtigungsnachweise FILE lautet (krb5_cc_resolve() enthält weitere In-formationen über Cachetypen), wird die Cachedatei für Berechtigungsnachweise im Verzeichnis/QIBM/UserData/OS400/NetworkAuthentication/creds erstellt. Die Position der Cachedatei für Berechti-gungsnachweise kann durch Setzen der Umgebungsvariablen KRB5CCNAME geändert werden.

Wenn sich die Cachedatei für Berechtigungsnachweise nicht im Standardverzeichnis befindet, sind die fol-genden Berechtigungen erforderlich:

Referenzobjekt Erforderliche Datenberechtigung Erforderliche Objektberechtigung

Jedes Verzeichnis im Pfadnamen, dasdem Cache fürBerechtigungsnachweise vorangeht

*X Keine

116 IBM i: Netzwerkauthentifizierungsservice

Page 123: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Referenzobjekt Erforderliche Datenberechtigung Erforderliche Objektberechtigung

Parent-Verzeichnis des Caches fürBerechtigungsnachweise

*WX Keine

Cachedatei fürBerechtigungsnachweise

*RW *OBJEXIST

Jedes Verzeichnis in den Pfaden zuden Konfigurationsdateien

*X Keine

Konfigurationsdateien *R Keine

Wenn sich die Cachedatei für Berechtigungsnachweise im Standardverzeichnis befindet, sind die folgen-den Berechtigungen erforderlich:

Referenzobjekt ErforderlicheDatenberechtigung

ErforderlicheObjektberechtigung

Alle Verzeichnisse im Pfadnamen *X Keine

Cachedatei für Berechtigungsnachweise *RW Keine

Jedes Verzeichnis in den Pfaden zu den Konfigurationsdateien *X Keine

Konfigurationsdateien *R Keine

Damit vom Kerberos-Protokoll die Cachedatei für Berechtigungsnachweise von jedem laufenden Prozessgefunden werden kann, wird der Name der Cachedatei normalerweise im Ausgangsverzeichnis unterdem Dateinamen krb5ccname gespeichert. Für den Benutzer, der die Kerberos-Authentifizierung auf derIBM i-Plattform verwenden möchte, muss ein Ausgangsverzeichnis definiert sein. Als Ausgangsverzeich-nis wird standardmäßig /home/ verwendet. Mit Hilfe dieser Datei wird nach dem Standardcache für Be-rechtigungsnachweise gesucht, wenn keine Befehlsoptionen angegeben werden. Die Speicherposition derCachedatei kann durch Setzen der Umgebungsvariablen _EUV_SEC_KRB5CCNAME_FILE überschriebenwerden. Um auf diese Datei zugreifen zu können, benötigt das Benutzerprofil die Berechtigung *X für je-des Verzeichnis im Pfad und die Berechtigung *R für die Datei, in der der Cachedateiname gespeichertist.

Nachrichtenv Cache für Berechtigungsnachweise Name der Cachedatei kann nicht aufgelöst werden.v Cache für Berechtigungsnachweise Name der Cachedatei kann nicht gelöscht werden.v Die Funktion Funktionsname hat einen Fehler festgestellt.v Ticket kann nicht aus Cache für Berechtigungsnachweise Dateiname abgerufen werden.v Für die Option Optionsname ist ein Wert erforderlich.v Befehlsoption ist keine gültige Befehlsoption.v Befehlsoption eins und Befehlsoption zwei dürfen nicht gemeinsam angegeben werden.v Kein Standardcache für Berechtigungsnachweise gefunden.v Der Zeitdeltawert Wert ist ungültig.

Unter "Verfallene Cachedateien für Berechtigungsnachweise löschen" finden Sie ein Beispiel für die Ver-wendungsweise dieses Befehls.

Kerberos-Service-Einträge in LDAP-Verzeichnissen verwaltenMit dem Befehl ksetup werden Kerberos-Service-Einträge im LDAP-Server-Verzeichnis verwaltet.

Netzwerkauthentifizierungsservice 117

Page 124: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Zweck

Mit dem Befehl ksetup werden Kerberos-Service-Einträge im LDAP-Server-Verzeichnis verwaltet. Folgen-de Unterbefehle werden unterstützt:

addhost Hostname Realm-NameMit diesem Unterbefehl wird ein Hosteintrag für den angegebenen Realm hinzugefügt. Der voll-ständig qualifizierte Hostname sollte verwendet werden, damit er richtig aufgelöst wird, unab-hängig davon, welche Standard-DNS-Domäne auf den Kerberos-Clients aktiv ist. Wird kein Re-alm-Name angegeben, wird der Standard-Realm verwendet.

addkdc Hostname:Portnummer Realm-NameMit diesem Unterbefehl wird dem Kerberos-Server ein Eintrag für den angegebenen Realm hinzu-gefügt. Wenn noch kein Hosteintrag vorhanden ist, wird einer erstellt. Wenn keine Portnummerangegeben wird, gilt Portnummer 88. Verwenden Sie den vollständig qualifizierten Hostnamen,damit er richtig aufgelöst wird, unabhängig davon, welche Standard-DNS-Domäne auf den Ker-beros-Clients aktiv ist. Wird kein Realm-Name angegeben, wird der Standard-Realm verwendet.

delhost Hostname Realm-NameMit diesem Unterbefehl werden ein Hosteintrag und alle zugeordneten Spezifikationen für denKerberos-Server aus dem angegebenen Realm gelöscht. Wird kein Realm-Name angegeben, wirdder Standard-Realm verwendet.

delkdc Hostname Realm-NameMit diesem Unterbefehl wird ein Eintrag auf dem Kerberos-Server für den angegebenen Host ge-löscht. Der Hosteintrag selbst wird nicht gelöscht. Wird kein Realm-Name angegeben, wird derStandard-Realm verwendet.

listhost Realm-NameMit diesem Unterbefehl werden die Einträge im Kerberos-Server für einen Realm aufgelistet.Wird kein Realm-Name angegeben, wird der Standard-Realm verwendet.

exit Mit diesem Unterbefehl wird der Befehl ksetup beendet.

Einschränkung: IBM i-Produkte unterstützen LDAP-Clients über die zeichenbasierte Schnittstelle. In IBMi PASE wird diese Unterstützung jedoch nicht angeboten.

Beispiele

Führen Sie die folgenden Schritte durch, um den Host kdc1.myco.com als Kerberos-Server für den RealmMYCO.COM zum Server ldapserv.myco.com hinzuzufügen. Dabei verwenden Sie die Directory-Server-Administrator-ID (LDAP) "Administrator" und das Kennwort "verysecret":

Geben Sie in einer Qshell-Befehlszeile Folgendes ein: ksetup -h ldapserv.myco.com -n CN=Administrator-p verysecret

Oder1. Geben Sie in einer CL-Befehlszeile von IBM i Folgendes ein:

call qsys/qkrbksetup parm('-h' 'ldapserv.myco.com' '-n' 'CN=Administrator' '-p''verysecret')

2. Wenn die Verbindung zum Directory-Server (LDAP) erfolgreich hergestellt werden konnte, wird eineEingabeaufforderung für Unterbefehle angezeigt. Geben Sie Folgendes ein:addkdc kdc1.myco.com MYCO.COM

Die Hinweise zur Verwendung von ksetup für diesen Qshell-Befehl enthalten weitere Informationen zurSyntax und zu den geltenden Einschränkungen.

118 IBM i: Netzwerkauthentifizierungsservice

Page 125: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

ksetupMit dem Qshell-Befehl ksetup werden Kerberos-Service-Einträge im Directory-Server für einen Kerberos-Realm verwaltet.

Syntax

ksetup -h Hostname -n BIND-Name -p BIND-Kennwort -e

Standardwert für allgemeine Berechtigung: *USE

Optionen

-h Der Hostname für den Directory-Server. Wird diese Option nicht angegeben, wird der in der Kerbe-ros-Konfiguration angegebene Directory-Server verwendet.

-n Der registrierte Name, der beim BIND mit dem Directory-Server verwendet werden soll. Wird dieseOption nicht angegeben, wird der Name über die Umgebungsvariable LDAP_BINDDN abgerufen.

-p Das Kennwort, das beim BIND mit dem Directory-Server verwendet werden soll. Wird diese Optionnicht angegeben, wird das Kennwort über die Umgebungsvariable LDAP_BINDPW abgerufen.

-e Jede Befehlszeile in stdout zurückmelden. Diese Option ist sinnvoll, wenn stdin in eine Datei umge-leitet wird.

Berechtigungen

Referenzobjekt Erforderliche Berechtigung

Jedes Verzeichnis in den Pfaden zu den Konfigurationsdateien *X

Konfigurationsdateien *R

Nachrichtenv Unterbefehl ist kein gültiger Unterbefehl.v Gültige Unterbefehle sind addhost, addkdc, delhost, delkdc, listhost, listkdc und exit.v Befehlsoption eins und Befehlsoption zwei können nicht gemeinsam angegeben werden.v LDAP-Client kann nicht initialisiert werden.v BIND mit Directory-Server nicht möglich.v Der Realm-Name muss angegeben werden.v Der Hostname muss angegeben werden.v Zu viele positionsgebundene Parameter.v Host Host ist bereits vorhanden.v Root-Domäne Domäne ist nicht definiert.v Realm-Name Realm ist ungültig.v Die Funktion LDAP-Funktionsname hat einen Fehler festgestellt.v Nicht genügend Speicher verfügbar.v Hostname Host ist ungültig.v Portnummer Port ist ungültig.v Host Host ist nicht definiert.v Kein Kerberos-Server für Host Host definiert.v Realm-Name konnte nicht abgerufen werden.

Unter "Kerberos-Service-Einträge in LDAP-Verzeichnissen verwalten" finden Sie ein Beispiel für die Ver-wendungsweise dieses Befehls.

Netzwerkauthentifizierungsservice 119

Page 126: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Realms in der DNS-Datenbank definierenSie können Realms zur Auflösung von Hostnamen in der DNS-Datenbank definieren.

Der Netzwerkauthentifizierungsservice ermöglicht Ihnen die Verwendung des DNS-Servers zur Auflö-sung von Hostnamen. Sie müssen dazu einen Serversatz (SRV) und einen Textsatz (TXT) für jedes KDC(Key Distribution Center - Instanz zur Schlüsselverteilung) im Realm hinzufügen. Das Kerberos-Protokollverwendet bei der Suche nach einem SRV-Satz den Realm-Namen als DNS-Suchnamen.

Führen Sie die folgenden Schritte durch, um Realms für DNS zu definieren:1. In der Konfigurationsdatei angeben, dass DNS verwendet werden soll.2. Fügen Sie dem DNS-Server für jeden KDC-Server im Realm SRV-Sätze hinzu. Die Kerberos-Laufzeit-

komponente verwendet bei der Suche nach einem SRV-Satz den Realm-Namen als Suchnamen. Beach-ten Sie, dass die Groß-/Kleinschreibung bei DNS-Suchvorgängen keine Rolle spielt, so dass es keineunterschiedlichen Realms geben darf, deren Namen sich lediglich auf Grund der Groß-/Kleinschreibung unterscheiden. Das allgemeine Format des Kerberos-SRV-Satzes lautet:Service.Protokoll.Realm TTL Klasse SRV Priorität Wertigkeit Port Ziel

Die _kerberos-Service-Einträge definieren KDC-Instanzen, und die _kpasswd-Service-Einträge definie-ren Änderungsservice-Instanzen für Kennwörter.Die Einträge werden nach Priorität verarbeitet (0 ist die höchste Priorität). Einträge mit gleicher Priori-tät werden in wahlfreier Reihenfolge verarbeitet. Die _udp-Protokollsätze sind für _kerberos- und_kpasswd-Einträge erforderlich.

3. Fügen Sie TXT-Sätze hinzu, um Hostnamen und Realm-Namen einander zuzuordnen. Bei der Suchenach einem TXT-Satz beginnt das Kerberos-Protokoll mit dem Hostnamen. Wenn kein TXT-Satz gefun-den werden kann, wird der erste Kennsatz entfernt, und die Suche wird mit dem neuen Namen wie-derholt. Dieser Prozess wird so lange wiederholt, bis ein TXT-Satz gefunden oder die Root erreichtwird. Beachten Sie, dass beim Realm-Namen im TXT-Satz die Groß-/Kleinschreibung beachtet wird.Das allgemeine Format eines TXT-Satzes lautet folgendermaßen:Service.Name TTL Klasse TXT Realm

Im Konfigurationsbeispiel können Sie die Beispiel-KDCs für die beiden Realms definieren, indem Siedie folgenden Sätze hinzufügen:

_kerberos._udp.deptxyz.bogusname.com IN SRV 0 0 88 kdc1.deptxyz.bogusname.com_kerberos._tcp.deptxyz.bogusname.com IN SRV 0 0 88 kdc1.deptxyz.bogusname.com_kerberos._udp.deptabc.bogusname.com IN SRV 0 0 88 kdc2.deptabc.bogusname.com_kerberos._tcp.deptabc.bogusname.com IN SRV 0 0 88 kdc2.deptabc.bogusname.com_kpasswd._udp.deptxyz.bogusname.com IN SRV 0 0 464 kdc1.deptxyz.bogusname.com_kpasswd._tcp.deptxyz.bogusname.com IN SRV 0 0 464 kdc1.deptxyz.bogusname.com_kpasswd._udp.deptabc.bogusname.com IN SRV 0 0 464 kdc2.deptxyz.bogusname.com_kpasswd._tcp.deptabc.bogusname.com IN SRV 0 0 464 kdc2.deptxyz.bogusname.com

Im Konfigurationsbeispiel können - gemäß dem allgemeinen Format eines Kerberos-TXT-Satzes -Hosts in den Domänen deptxyz und deptabc ihren entsprechenden Realms mit den folgenden Anwei-sungen zugeordnet werden:

_kerberos.deptxyz.bogusname.com IN TXT DEPTXYZ.BOGUSNAME.COM_kerberos.deptabc.bogusname.com IN TXT DEPTABC.BOGUSNAME.COMIm Folgenden finden Sie ein Beispiel für die Konfigurationsdatei krb5.conf, in der die Verwendungder DNS-Suchfunktion angegeben wird:Beispiel für Konfigurationsdatei krb5.conf; krb5.conf - Kerberos V5 configuration file DO NOT REMOVE THIS LINE;

[libdefaults]

120 IBM i: Netzwerkauthentifizierungsservice

Page 127: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

; Der Standard-Realm-Wert;-default_realm = REALM1.ROCHESTER.IBM.COMdefault_realm = DEPTXYZ.BOGUSNAME.COM

; System für Verwendung der DNS-Suchfunktion definierenuse_dns_lookup = 1

[realms];; Hier könnten dieselben Realm-Informationen konfiguriert werden, doch; würden sie nur verwendet, wenn die DNS-Suchfunktion fehlschlägt.;

[domain_realm]; Hostnamen in Realm-Namen konvertieren. Es können einzelne Hostnamen; angegeben werden. Domänensuffixe können mit führendem Punkt angegeben; werden und gelten für alle Hostnamen, die mit diesem Suffix enden.;; Mit DNS wird aufgelöst, zu welchem Realm ein bestimmter Hostname gehört.;

[capaths]; Konfigurierbare Authentifizierungspfade definieren die Vertrauensbeziehungen; zwischen Client und Servern. Jeder Eintrag steht für einen Client-Realm; und besteht aus den Vertrauensbeziehungen für jeden Server, auf den; über diesen Realm zugegriffen werden kann. Ein Server kann mehrmals; aufgelistet werden, wenn mehrere Vertrauensbeziehungen vorhanden sind.; Geben Sie ’.’ für eine Direktverbindung an.;-REALM1.ROCHESTER.IBM.COM = {;- REALM2.ROCHESTER.IBM.COM = .;;}DEPTXYZ.BOGUSNAME.COM = {DEPTABC.BOGUSNAME.COM = .}

Realms im LDAP-Server definierenDer Netzwerkauthentifizierungsservice ermöglicht Ihnen die Verwendung des LDAP-Servers, um einenHostnamen in einen Kerberos-Realm aufzulösen und das KDC für einen Kerberos-Realm zu suchen.

Wenn Sie LDAP für die Suche nach diesen Informationen verwenden, müssen Sie die Informationen imLDAP-Server definieren. Dazu müssen Sie die folgenden Tasks ausführen:1. In der Konfigurationsdatei angeben, dass LDAP verwendet werden soll.

Im IBM Navigator for i angeben, welcher Directory-Server zur Auflösung von Hostnamen verwendetwerden soll. Hiermit wird die Konfigurationsdatei krb5.conf in /QIBM/UserData/OS400/NetworkAuthentication/krb5.conf aktualisiert. Der Name des Directory-Servers wird zum Abschnittlibdefaults der Konfigurationsdatei hinzugefügt. Im Folgenden finden Sie ein Beispiel für diese Kon-figurationsdatei:Beispiel für Konfigurationsdatei krb5.conf; krb5.conf - Kerberos V5 configuration file DO NOT REMOVE THIS LINE;

[libdefaults]

; Der Standard-Realm-Wert;-default_realm = REALM1.ROCHESTER.IBM.COMdefault_realm = DEPTXYZ.BOGUSNAME.COM

; System für Verwendung der LDAP-Suchfunktion definierenuse_ldap_lookup = 1ldap_server = dirserv.bogusname.com

[realms];; Hier könnten dieselben Realm-Informationen konfiguriert werden, doch; würden sie nur verwendet, wenn die LDAP-Suchfunktion fehlschlägt.;

Netzwerkauthentifizierungsservice 121

Page 128: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

[domain_realm]; Hostnamen in Realm-Namen konvertieren. Es können einzelne Hostnamen; angegeben werden. Domänensuffixe können mit führendem Punkt angegeben; werden und gelten für alle Hostnamen, die mit diesem Suffix enden.;; Mit LDAP wird aufgelöst, zu welchem Realm ein bestimmter Hostname gehört.; Sie könnten hier ebenfalls definiert werden, doch würden sie nur verwendet,; wenn die LDAP-Suchfunktion fehlschlägt.;

[capaths]; Konfigurierbare Authentifizierungspfade definieren die Vertrauensbeziehungen; zwischen Client und Servern. Jeder Eintrag steht für einen Client-Realm; und besteht aus den Vertrauensbeziehungen für jeden Server, auf den; über diesen Realm zugegriffen werden kann. Ein Server kann mehrmals; aufgelistet werden, wenn mehrere Vertrauensbeziehungen vorhanden sind.; Geben Sie ’.’ für eine Direktverbindung an.;-REALM1.ROCHESTER.IBM.COM = {;- REALM2.ROCHESTER.IBM.COM = .;;}DEPTXYZ.BOGUSNAME.COM = {DEPTABC.BOGUSNAME.COM = .}

2. Kerberos für den LDAP-Server definieren. Auf dem LDAP-Server muss ein Domänenobjekt vorhan-den sein, dessen Name mit dem Kerberos-Realm-Namen übereinstimmt. Lautet der Kerberos-Realm-Name beispielsweise DEPTABC.BOGUSNAME.COM, dann muss im Verzeichnis ein Objekt mit dem Namendc=DEPTABC,dc=BOGUSNAME,dc=com vorhanden sein. Wenn dieses Objekt nicht vorhanden ist, müssen Siemöglicherweise zunächst der LDAP-Serverkonfiguration ein Suffix hinzufügen. Gültige Suffixe fürdiesen Objektnamen sind dc=DEPTABC,dc=BOGUSNAME,dc=COM oder einer der Parent-Einträge(dc=BOGUSNAME,dc=COM oder dc=COM). Das Suffix für einen IBM i-LDAP-Server kann mit demIBM Navigator for i hinzugefügt werden.a. Führen Sie die folgenden Schritte durch, um ein Suffix hinzuzufügen:

1) Erweitern Sie in IBM Navigator for i den Eintrag für IBM i-Verwaltung > Netzwerk > Serverund wählen Sie TCP/IP-Server aus.

2) Klicken Sie mit der rechten Maustaste auf IBM Directory Server und wählen Sie Eigenschaf-ten aus.

3) Geben Sie auf der Seite 'Datenbank/Suffix' das Suffix an, das hinzugefügt werden soll.b. Fügen Sie das Domänenobjekt für den Realm im LDAP-Verzeichnis mit dem Befehl LDAPADD hinzu.c. Fahren Sie mit dem Konfigurationsbeispiel für zwei Realms mit der Bezeichnung DEPTABC.BO-

GUSNAME.COM und DEPTXYZ.BOGUSNAME.COM fort, indem Sie einer Datei im IntegratedFile System die folgenden Zeilen hinzufügen:

dn: dc=BOGUSNAME,dc=COMdc: BOGUSNAMEobjectClass: domain

dn: dc=DEPTABC,dc=BOGUSNAME,dc=COMdc: DEPTABCobjectClass: domain

dn: dc=DEPTXYZ,dc=BOGUSNAME,dc=COMdc: DEPTXYZobjectClass: domain

d. Wenn der Name der IFS-Datei /tmp/addRealms.ldif lautet, dann geben Sie unter Annahme dersel-ben Voraussetzungen wie im vorherigen Beispiel die folgenden Befehle ein:

STRQSHldapadd -h dirserv.bogusname.com -D cn=Administrator

-w verysecret -c -f/tmp/addRealms.ldif

122 IBM i: Netzwerkauthentifizierungsservice

Page 129: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

e. Definieren Sie die KDC-Einträge für Ihre Realms und wahlweise Hostnamenseinträge, um jedenHost in Ihrem Netzwerk einem bestimmten Realm-Namen zuzuordnen. Dazu können Sie den Be-fehl ksetup mit den Unterbefehlen addkdc und addhost verwenden. Fahren Sie mit dem Konfigura-tionsbeispiel fort, und geben Sie die folgenden Befehle ein:

STRQSHksetup -h dirserv.bogusname.com -n cn=Administrator

-p verysecretaddkdc kdc1.deptxyz.bogusname.com DEPTXYZ.BOGUSNAME.COMaddkdc kdc2.deptxyz.bogusname.com DEPTXYZ.BOGUSNAME.COMaddkdc kdc1.deptabc.bogusname.com DEPTABC.BOGUSNAME.COMaddhost database.deptxyz.bogusname.com

DEPTXYZ.BOGUSNAME.COM

Wiederholen Sie diese Eingaben für jeden Host in jedem Realm.

Schema auf einem LDAP-Server definierenDer IBM i LDAP-Server (IBM Directory Server) wird mit einem bereits definierten LDAP-Schema ausge-liefert. Wenn Sie jedoch einen anderen LDAP-Server als IBM Directory Server verwenden, können Sie Ihreigenes Schema auf diesem Server definieren.

LDAP-Schema

Wenn Sie ein eigenes Schema auf einem LDAP-Server definieren wollen, dann sind die folgenden Infor-mationen möglicherweise von Nutzen für Sie.

Für den Netzwerkauthentifizierungsservice gelten die folgenden LDAP-Schemadefinitionen:v Ganzzahlige Werte werden als numerische Zeichenfolge mit Vorzeichen und einer maximalen Länge

von 11 Zeichen dargestellt.v Boolesche Werte werden durch die Zeichenfolgen "TRUE" und "FALSE" dargestellt.v Zeitwerte werden als 15 Byte umfassende Zeichenfolgen im Format "JJJJMMTThhmmssZ" dargestellt.

Alle Zeitangaben werden als UTC-Werte dargestellt.

LDAP-Objektklassen

Objekt Erforderlich Zulässig

domain dc description seeAlso

ibmCom1986-Krb-KerberosService serviceName ibmCom1986-Krb-KerberosRealm

ipServicePort descriptionseeAlso

domain dc objectClass description seeAlso

LDAP-Attribute

Attribut Typ Größe Wert

dc caseIgnoreString 64 Einzelwert

description caseIgnoreString 1024 Mehrere Werte

ibmCom1986-Krb-KerberosRealm caseExactString 256 Einzelwert

ipServicePort Ganzzahliger Wert 11 Einzelwert

seeAlso DN 1000 Mehrere Werte

serviceName caseIgnoreString 256 Einzelwert

Netzwerkauthentifizierungsservice 123

Page 130: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Fehler beim Netzwerkauthentifizierungsservice behebenDie vorliegenden Informationen zur Fehlerbehebung enthalten Angaben zu gelegentlich auftretenden Pro-blemen, die den Netzwerkauthentifizierungsservice, Enterprise Identity Mapping (EIM) und die von IBMgelieferten Anwendungen betreffen, die die Kerberos-Authentifizierung unterstützen.1. Erfüllen Sie alle Voraussetzungen.2. Vergewissern Sie sich, dass der Benutzer über ein Benutzerprofil auf der IBM i-Plattform und über ei-

nen Principal auf dem Kerberos-Server verfügt. Auf der IBM i-Plattform müssen Sie sich vergewis-sern, dass der Benutzer vorhanden ist. Öffnen Sie hierzu im IBM Navigator for i 'Benutzer und Grup-pen' oder geben Sie in einer Befehlszeile den Befehl WRKUSRPRF (Mit Benutzerprofilen arbeiten) ein. AufSystemen, die mit einem Windows-Betriebssystem arbeiten, müssen Sie überprüfen, ob der Benutzervorhanden ist. Rufen Sie hierzu den Ordner "Active Directory-Benutzer und -Computer" auf.

3. Überprüfen Sie, ob die IBM i-Plattform mit dem Kerberos-Server Kontakt hat, indem Sie den Befehlkinit im Qshell Interpreter ausführen. Wenn die Ausführung des Befehls kinit fehlschlägt, müssenSie prüfen, ob der IBM i-Service-Principal auf dem Kerberos-Server registriert wurde. Fall dies nichtder Fall ist, können Sie den IBM i-Principal zum Kerberos-Server hinzufügen.

Zugehörige Tasks:„IBM i-Principals zum Kerberos-Server hinzufügen” auf Seite 98Nachdem Sie den Netzwerkauthentifizierungsservice auf Ihrer IBM i-Plattform konfiguriert haben, müs-sen Sie Ihre IBM i-Principals zum Kerberos-Server hinzufügen.

Fehler und Fehlerbehebung beim NetzwerkauthentifizierungsserviceWährend der Verwendung des Assistenten für den Netzwerkauthentifizierungsservice oder beim Verwal-ten der Eigenschaften des Netzwerkauthentifizierungsservice im IBM Navigator for i treten möglicherwei-se die folgenden Fehler auf. Wenden Sie die entsprechenden Fehlerbehebungsmaßnahmen an, die im Fol-genden aufgelistet sind.

Tabelle 35. Fehler und Fehlerbehebung beim Netzwerkauthentifizierungsservice

Fehler Wiederherstellung

KRBWIZ_CONFIG_FILE_FORMAT_ERROR: Das Formatder Konfigurationsdatei für denNetzwerkauthentifizierungsservice ist fehlerhaft.

Den Netzwerkauthentifizierungsservice rekonfigurieren.Einzelheiten hierzu finden Sie unter„Netzwerkauthentifizierungsservice konfigurieren” aufSeite 97.

KRBWIZ_ERROR_READ_CONFIG_FILE: Fehler beimLesen der Konfigurationsdatei fürNetzwerkauthentifizierungsservice.

Den Netzwerkauthentifizierungsservice rekonfigurieren.Einzelheiten hierzu finden Sie unter„Netzwerkauthentifizierungsservice konfigurieren” aufSeite 97.

KRBWIZ_ERROR_WRITE_CONFIG_FILE: Fehler beimSchreiben in die Konfigurationsdatei fürNetzwerkauthentifizierungsservice.

Der Service für das Schreiben in die Konfigurationsdateiist nicht verfügbar. Vorgang später wiederholen.

KRBWIZ_PASSWORD_MISMATCH: Neues Kennwortund Prüfkennwort nicht identisch.

Neues Kennwort erneut eingeben und bestätigen.

KRBWIZ_PORT_ERROR: Die Portnummer muss im Be-reich von 1 bis 65535 liegen.

Eine Portnummer zwischen 1 und 65535 eingeben.

KRBWIZ_ERROR_WRITE_KEYTAB: Fehler beim Schrei-ben in die Chiffrierschlüsseldatei.

Der Service für das Schreiben in dieChiffrierschlüsseldatei ist vorübergehend nicht verfügbar.Vorgang später wiederholen.

KRBWIZ_NOT_AUTHORIZED_CONFIGURE: Keine Be-rechtigung für die Konfiguration desNetzwerkauthentifizierungsservice.

Vergewissern Sie sich, dass Sie über die folgenden Be-rechtigungen verfügen: *ALLOBJ und *SECADM.

KrbPropItemExists: Das Element ist bereits vorhanden. Ein neues Element eingeben.

124 IBM i: Netzwerkauthentifizierungsservice

Page 131: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 35. Fehler und Fehlerbehebung beim Netzwerkauthentifizierungsservice (Forts.)

Fehler Wiederherstellung

KrbPropKDCInListRequired: KDC muss in der Liste ent-halten sein.

Angegebener Kerberos-Server ist in der Liste nicht vor-handen. Wählen Sie einen Kerberos-Server aus der Listeaus.

KrbPropKDCValueRequired: Ein KDC-Name muss einge-geben werden.

Einen gültigen Namen für den Kerberos-Server eingeben.Der Kerberos-Server muss auf einem sicheren System imNetzwerk konfiguriert sein.

KrbPropPwdServerRequired: Ein Kennwortservernamemuss eingegeben werden.

Einen gültigen Namen für den Kennwortserver eingeben.

KrbPropRealmRequired: Ein Realm-Name muss eingege-ben werden.

Den Namen des Realms eingeben, zu dem dieses Systemgehört.

KrbPropRealmToTrustRequired: Für den sicheren Realmmuss ein Name eingegeben werden.

Den Namen des Realms eingeben, für den eineVertrauensbeziehung aufgebaut wird.

KrbPropRealmValueRequired: Ein Realm-Name musseingegeben werden.

Einen gültigen Namen für den Realm eingeben.

CPD3E3F: Fehler &2 beiNetzwerkauthentifizierungsservice aufgetreten.

Siehe die entsprechendenWiederherstellungsinformationen für diese Nachricht.

Fehler und Fehlerbehebung bei der AnwendungsverbindungIm Folgenden sind einige der häufigeren Fehler, die bei Kerberos-fähigen IBM i-Schnittstellen auftretenkönnen, sowie entsprechende Fehlerbehebungsmaßnahmen aufgeführt.

Tabelle 36. Gelegentlich auftretende Fehler bei Kerberos-fähigen IBM i-Schnittstellen

Problem Wiederherstellung

Name des Standardcaches für Berechtigungsnachweisekann nicht abgerufen werden.

Stellen Sie fest, ob der Benutzer, der bei der IBM i-Platt-form angemeldet ist, über ein Verzeichnis imAusgangsverzeichnis (/home) verfügt. Wenn kein Ver-zeichnis für den Benutzer vorhanden ist, erstellen Sie einAusgangsverzeichnis für den Cache fürBerechtigungsnachweise.

CPD3E3F: Fehler &2 beiNetzwerkauthentifizierungsservice aufgetreten.

Siehe die entsprechendenWiederherstellungsinformationen für diese Nachricht.

Netzwerkauthentifizierungsservice 125

Page 132: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 36. Gelegentlich auftretende Fehler bei Kerberos-fähigen IBM i-Schnittstellen (Forts.)

Problem Wiederherstellung

Keine DRDA/DDM-Verbindung auf einer IBM i-Platt-form möglich, für die zuvor eine Verbindung bestandenhat.

Überprüfen Sie, ob der Standard-Realm vorhanden ist,der bei der Konfiguration desNetzwerkauthentifizierungsservice angegeben wurde.Wenn kein Standard-Realm und kein Kerberos-Serverkonfiguriert wurden, ist die Konfiguration desNetzwerkauthentifizierungsservice falsch, und es könnenkeine DRDA/DDM-Verbindungen hergestellt werden. Siekönnen eine der folgenden Tasks ausführen, um diesenFehler zu beheben:

1. Gehen Sie folgendermaßen vor, wenn Sie nicht mitder Kerberos-Authentifizierung arbeiten:

Löschen Sie den bei der Konfiguration desNetzwerkauthentifizierungsservice angegebenen Stan-dard-Realm.

2. Gehen Sie folgendermaßen vor, wenn Sie mit derKerberos-Authentifizierung arbeiten:

a. Rekonfigurieren Sie denNetzwerkauthentifizierungsservice, und geben Sieden Standard-Realm und den Kerberos-Server an,die Sie in Schritt 1 erstellt haben.

b. Konfigurieren Sie IBM i Access Client Solutions-Anwendungen für den Einsatz der Kerberos-Authentifizierung. Dadurch wird die Kerberos-Authentifizierung für alle IBM i Access ClientSolutions-Anwendungen (einschließlich DRDA/DDM) aktiviert. (Weitere Informationen hierzufinden Sie in „Szenario: Einzelanmeldung für IBMi aktivieren” auf Seite 51.)

126 IBM i: Netzwerkauthentifizierungsservice

Page 133: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 36. Gelegentlich auftretende Fehler bei Kerberos-fähigen IBM i-Schnittstellen (Forts.)

Problem Wiederherstellung

Keine QFileSvr.400-Verbindung auf einer IBM i-Plattformmöglich, für die zuvor eine Verbindung bestanden hat.

Überprüfen Sie, ob der Standard-Realm vorhanden ist,der bei der Konfiguration desNetzwerkauthentifizierungsservice angegeben wurde.Wenn kein Standard-Realm und kein Kerberos-Serverkonfiguriert wurden, ist die Konfiguration desNetzwerkauthentifizierungsservice falsch, und es könnenkeine QFileSvr.400-Verbindungen hergestellt werden. Siekönnen eine der folgenden Tasks ausführen, um diesenFehler zu beheben:

1. Gehen Sie folgendermaßen vor, wenn Sie nicht mitder Kerberos-Authentifizierung arbeiten:

Löschen Sie den bei der Konfiguration desNetzwerkauthentifizierungsservice angegebenen Stan-dard-Realm.

2. Gehen Sie folgendermaßen vor, wenn Sie mit derKerberos-Authentifizierung arbeiten:

a. Konfigurieren Sie den Standard-Realm und denKerberos-Server auf einem sicheren System imNetzwerk. Weitere Informationen finden Sie inder Dokumentation zu diesem System.

b. Rekonfigurieren Sie denNetzwerkauthentifizierungsservice, und geben Sieden Standard-Realm und den Kerberos-Server an,die Sie in Schritt 1 erstellt haben.

c. Konfigurieren Sie IBM i Access Client Solutions-Anwendungen für den Einsatz der Kerberos-Authentifizierung. Dadurch wird die Kerberos-Authentifizierung für alle IBM i Access ClientSolutions-Anwendungen (einschließlich DRDA/DDM) aktiviert. (Weitere Informationen hierzufinden Sie in „Szenario: Einzelanmeldung für IBMi aktivieren” auf Seite 51.)

CWBSY1011: Berechtigungsnachweise für Kerberos-Clientnicht gefunden.

Der Benutzer hat kein Ticket-granting Ticket (TGT). Die-ser Verbindungsfehler tritt auf dem Client-PC auf, wennsich ein Benutzer nicht bei einer Windows-Domäne an-meldet. Um diesen Fehler zu beheben, melden Sie sichbei der Windows-Domäne an.

Fehler beim Prüfen der Verbindungseinstellungen aufge-treten. URL enthält keinen Host.Anmerkung: Dieser Fehler tritt auf, wenn Sie mitEnterprise Identity Mapping (EIM) arbeiten.

Gehen Sie folgendermaßen vor, um diesen Fehler zu be-heben:

1. Erweitern Sie in IBM Navigator for i den Eintrag fürIBM i-Verwaltung > Netzwerk > Server > TCP/IP-Server.

2. Klicken Sie mit der rechten Maustaste auf Verzeich-nis und wählen Sie Eigenschaften aus.

3. Prüfen Sie auf der Seite 'Allgemein', ob der registrier-te Name und das Kennwort des Administrators mitden entsprechenden Angaben übereinstimmen, dieSie bei der EIM-Konfiguration gemacht haben.

Netzwerkauthentifizierungsservice 127

Page 134: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 36. Gelegentlich auftretende Fehler bei Kerberos-fähigen IBM i-Schnittstellen (Forts.)

Problem Wiederherstellung

Fehler beim Ändern der Konfiguration für lokalenDirectory-Server aufgetreten. GLD0232: Konfigurationkann keine überlappenden Suffixe enthalten.Anmerkung: Dieser Fehler tritt auf, wenn Sie mitEnterprise Identity Mapping (EIM) arbeiten.

Gehen Sie folgendermaßen vor, um diesen Fehler zu be-heben:

1. Erweitern Sie in IBM Navigator for i den Eintrag fürIBM i-Verwaltung > Netzwerk > Server > TCP/IP-Server.

2. Klicken Sie mit der rechten Maustaste auf Verzeich-nis und wählen Sie Eigenschaften aus.

3. Entfernen Sie auf der Seite 'Datenbank/Suffixe' alleibm-eimDomainName-Einträge, und rekonfigurierenSie EIM.

Fehler beim Prüfen der Verbindungseinstellungen aufge-treten. Beim Aufrufen eines IBM i-Programms kam es zueiner Ausnahmebedingung. Das aufgerufene Programmist eimConnect. Details:com.ibm.as400.data.PcmlException.Anmerkung: Dieser Fehler tritt auf, wenn Sie mitEnterprise Identity Mapping (EIM) arbeiten.

Gehen Sie folgendermaßen vor, um diesen Fehler zu be-heben:

1. Erweitern Sie in IBM Navigator for i den Eintrag fürIBM i-Verwaltung > Netzwerk > Server > TCP/IP-Server.

2. Klicken Sie mit der rechten Maustaste auf Verzeich-nis und wählen Sie Eigenschaften aus.

3. Entfernen Sie auf der Seite 'Datenbank/Suffixe' alleibm-eimDomainName-Einträge, und rekonfigurierenSie EIM.

Kerberos-Ticket vom fernen System kann nicht authenti-fiziert werden.Anmerkung: Dieser Fehler tritt auf, wenn Sie Manage-ment Central-Systeme für die Verwendung der Kerberos-Authentifizierung konfigurieren.

Überprüfen Sie, ob Kerberos auf allen Systemen richtigkonfiguriert ist. Dieser Fehler kann auf einenSicherheitsverstoß hinweisen. Wiederholen Sie die Anfor-derung. Wenn der Fehler weiterhin auftritt, wenden Siesich an die zuständige IBM Kundenunterstützung.

Kerberos-Service-Ticket kann nicht abgerufen werden.Anmerkung: Dieser Fehler tritt auf, wenn Sie Manage-ment Central-Systeme für die Verwendung der Kerberos-Authentifizierung konfigurieren.

Überprüfen Sie für jedes Ihrer Systeme, ob sich derKerberos-Principal krbsvr400/IBM i vollständig qualifizier-ter Hostname@REALM sowohl auf dem Kerberos-Serverals auch in der Chiffrierschlüsseldatei befindet. Um zuüberprüfen, ob sich der Kerberos-Principal auf demKerberos-Server befindet, siehe „IBM i-Principals zumKerberos-Server hinzufügen” auf Seite 98. Um zu über-prüfen, ob sich die Namen des Kerberos-Service-Principals in der Chiffrierschlüsseldatei befinden, solltenSie die Informationen in „Chiffrierschlüsseldateienverwalten” auf Seite 111 lesen.

128 IBM i: Netzwerkauthentifizierungsservice

Page 135: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 36. Gelegentlich auftretende Fehler bei Kerberos-fähigen IBM i-Schnittstellen (Forts.)

Problem Wiederherstellung

Kerberos-Principal befindet sich nicht in einer anerkann-ten Gruppe.Anmerkung: Dieser Fehler tritt auf, wenn Sie Manage-ment Central-Systeme für die Verwendung der Kerberos-Authentifizierung konfigurieren.

Fügen Sie den Kerberos-Principal für das System, dasversucht, eine Verbindung zu diesem System herzustel-len, der Datei für anerkannte Gruppen hinzu. Gehen Siefolgendermaßen vor, um diesen Fehler zu beheben:

1. Konfigurieren Sie das zentrale System für die Ver-wendung der Kerberos-Authentifizierung.

2. Erfassen Sie das Systemwerte-Inventar.

3. Vergleichen und aktualisieren Sie die verfügbaren Da-ten.

4. Starten Sie die Management Central-Server auf demzentralen System und den Zielsystemen erneut.

5. Fügen Sie den Kerberos-Service-Principal für jedesEndpunktsystem zur Datei für anerkannte Gruppenhinzu.

6. Erlauben Sie sichere Verbindungen.

7. Starten Sie die Management Central-Server auf demzentralen System und den Zielsystemen erneut.

8. Testen Sie die Authentifizierung auf den ManagementCentral-Servern.

API-Trace-ToolSie können das API-Trace-Tool einrichten, um Fehler bei Aufrufen für Kerberos- und GSS-APIs (GSS =Generic Security Services) zu beheben.

Der Netzwerkauthentifizierungsservice stellt ein API-Trace-Tool zur Verfügung, mit dem ein Administra-tor eine Datei erstellen kann, die alle Kerberos- und GSS-API-Aufrufe (GSS = Generic Security Services)enthält. Mit Hilfe dieses Tools können Sie kompliziertere Fehler beheben, die Ihre eigenen Kerberos-fähi-gen Anwendungen betreffen und bei der Konfiguration des Netzwerkauthentifizierungsservice sowie beiAnforderungen für Kerberos-Tickets auftreten könnten. Das Tool kann unter Verwendung von Umge-bungsvariablen erstellt und veranlasst werden, eine Protokolldatei im Ausgangsverzeichnis des Benutzerszu generieren.

Anmerkung: Diese Schritte können Sie nur ausführen, wenn das Ausgangsverzeichnis vorhanden ist.

API-Trace-Tool konfigurierenUm das API-Trace-Tool in eine Datei zu schreiben, führen Sie die folgenden Schritte auf der IBM i-Platt-form aus, auf der der Netzwerkauthentifizierungsservice konfiguriert ist.

Führen Sie die folgenden Schritte durch, um das API-Trace-Tool zu konfigurieren:1. Erstellen Sie im Ausgangsverzeichnis des Benutzers, für den die Tracefunktion ausgeführt werden

soll, eine envar-Datei. Geben Sie hierzu z. B. Folgendes an: /home/Benutzerprofilname/envar.2. Verwenden Sie in der zeichenbasierten Schnittstelle den Befehl edtf /home/Benutzerprofilname/envar,

um die Datei zu bearbeiten.3. Fügen Sie die folgenden Zeilen zur envar-Datei hinzu, und achten Sie darauf, dass diese in Spalte 1

beginnen:_EUV_SVC_MSG_LOGGING=STDOUT_LOGGING_EUV_SVC_MSG_LEVEL=VERBOSE_EUV_SVC_STDOUT_FILENAME=/home/Benutzerprofilname/trace.txt_EUV_SVC_DBG_MSG_LOGGING=1_EUV_SVC_DBG_TRACE=1_EUV_SVC_DBG=*.9

Netzwerkauthentifizierungsservice 129

Page 136: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

4. Wiederholen Sie die Ausführung des fehlgeschlagenen Befehls.5. Zeigen Sie den Trace an, auf den mit _EUV_SVC_STDOUT_FILENAME verwiesen wird.

Nach Ausführung der Tracefunktion für den fehlgeschlagenen Befehl müssen Sie die envar-Datei löschenoder umbenennen, da andernfalls die Tracefunktion für alle Kerberos-Befehle ausgeführt wird, die vomBenutzer eingegeben werden.

Auf die API-Traceprotokolldatei zugreifenNachdem Sie das API-Trace-Tool konfiguriert haben, können Sie jetzt auf die Protokolldatei zugreifen, ummit der Fehlerbehebung zu beginnen.

Führen Sie die folgenden Schritte durch, um auf diese Protokolldatei zuzugreifen:1. Geben Sie in der zeichenbasierten Schnittstelle wrklnk ('home/Benutzerprofil') ein, wobei

Benutzerprofil der Name des Benutzerprofils ist.2. Wählen Sie in der Anzeige Mit Objektverbindung arbeiten Auswahl 5 aus, um den Inhalt der Datei

trace.txt anzuzeigen, die in diesem Verzeichnis gespeichert ist.

Das folgende Beispiel zeigt einen Teil einer Protokolldatei:

Ansehen: /home/day/trace.txtSatz: 1 v. 5430 um 14 Spalte : 1 140 um 79Strg:

****************Datenanfang****************030515 08:53:13 (00000003) DBG1 KRB/KRB_GENERAL: Version 5, Release 3, Service level V5R3M0030515 08:53:13 (00000003) DBG1 KRB/KRB_GENERAL: STDOUT handle=4, STDERR handle==-1,DEBUG handle=4030515 08:53:13 (00000003) DBG6 KRB/KRB_GENERAL: Using variant character table for code set 37030515 08:53:13 (00000003) DBG1 KRB/KRB_API: --> krb5_init_context()030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Updating profile fromQIBM/USERDATA/OS400/NETWORKAUTHENTICATION/krb5.conf030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: [libdefaults]030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: default_keytab_name = /030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: default_realm = MYCO.COM030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: [realms]030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: MYCO.COM = {030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: kdc = kdc1.myco.com:88030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: kpasswd_server = kdc1.myco.com:464030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: }030515 08:53:13 (00000003) DBG8 KRB/KRB_GENERAL: Line: [domain_realm]

F3=Verlassen F10=Hex anzeigen F12=Verlassen F15=Services F16=Neu suchenF19=Links F20=Rechts

Informationen über spezielle Fehlernachrichten im API-Trace finden Sie unter der entsprechenden API imInformation Center.Zugehörige Informationen:API FinderGeneric Security Service Application Programming Interfaces (GSS-APIs)Network Authentication Service Application Programming Interfaces (APIs)

Fehler des Kerberos-Servers in IBM i PASE behebenSie haben Zugriff auf Status- und Informationsprotokolldateien, mit deren Hilfe Sie Fehler des Kerberos-Servers in IBM i PASE beheben können.

Bei der Konfiguration eines Kerberos-Servers in IBM i PASE werden der Authentifizierungsserver undder Verwaltungsserver erstellt. Diese Server schreiben Status- und Informationsnachrichten in eine Proto-

130 IBM i: Netzwerkauthentifizierungsservice

Page 137: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

kolldatei, die sich im Verzeichnis /var/krb5/log befindet. Die Protokolldatei krb5kdc.log enthält Nach-richten, die dem Administrator bei der Behebung von Problemen bei Konfigurations- und Authentifizie-rungsanforderungen helfen können.

Auf die Protokolldateien für den Kerberos-Server kann nur über die IBM i-Plattform zugegriffen werden,auf der der Kerberos-Server unter IBM i PASE konfiguriert wurde. Führen Sie die folgenden Schrittedurch, um auf die Protokolldateien zuzugreifen:1. Geben Sie in einer zeichenbasierten Schnittstelle QP2TERM ein. Mit diesem Befehl wird eine interaktive

Shell-Umgebung geöffnet, die Ihnen das Arbeiten mit IBM i PASE-Anwendungen ermöglicht.2. Geben Sie in der Befehlszeile cd /var/krb5/log ein.3. Geben Sie in der Befehlszeile cat /krb5kdc.log ein. Damit wird die Datei krb5kdc.log geöffnet, die

Fehlernachrichten für das IBM i PASE-KDC enthält.

Beispiel für Protokolldatei krb5kdc.log

Das folgende Beispielprotokoll enthält mehrere Nachrichten:

$AS_REQ (3 etypes {16 3 1}) 10.1.1.2(88): NEEDED_PREAUTH:[email protected] for kadmin/[email protected],Zusätzliche Vorab-Authentifizierung erforderlich

Apr 30 14:18:08 systema.myco.com /usr/krb5/sbin/krb5kdc[334](info):AS_REQ (3 etypes {16 3 1}) 10.1.1.2(88): ISSUE: authtime 1051730288,etypes {rep=16 tkt=16 ses=16}, [email protected] forkadmin/[email protected]

Apr 30 14:18:56 systema.myco.com /usr/krb5/sbin/krb5kdc[334](Notice):AS_REQ (3 etypes {16 3 1}) 10.1.1.2(88): NEEDED_PREAUTH:[email protected] for kadmin/[email protected],Zusätzliche Vorab-Authentifizierung erforderlich

Apr 30 14:18:56 systema.myco.com /usr/krb5/sbin/krb5kdc[334](info):DISPATCH: Wiederholungsattacke gefunden und erneut übertragen$

Befehle für den NetzwerkauthentifizierungsserviceDiese Befehle vereinfachen das Konfigurieren und die Benutzung des Netzwerkauthentifizierungsservice.

Tabelle 37. Befehle für den Netzwerkauthentifizierungsservice

Befehl Beschreibung

config.krb Konfiguriert Server und Clients für den Netzwerkauthentifizierungsservice.

kadmin Verwaltet die Datenbank für den Netzwerkauthentifizierungsservice.

kadmind_daemon Startet den Verwaltungsserver für den Netzwerkauthentifizierungsservice.

kdb5_util Ermöglicht einem Administrator die Ausführung einfacher Wartungsarbeiten in derDatenbank für den Netzwerkauthentifizierungsservice.

kdestroy Löscht den Cache für Berechtigungsnachweise (d. h. die Chiffrierschlüsseltabelle).

kinit Ruft ein Ticket-granting Ticket ab oder verlängert dieses.

klist Zeigt den Inhalt des Caches für Berechtigungsnachweise oder derChiffrierschlüsseltabelle an.

kpasswd Ändert das Kennwort eines Principals.

krb5kdc Startet das Multithread-Key Distribution Center (KDC) desNetzwerkauthentifizierungsservice.

Netzwerkauthentifizierungsservice 131

Page 138: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Tabelle 37. Befehle für den Netzwerkauthentifizierungsservice (Forts.)

Befehl Beschreibung

ksetup Verwaltet die Einträge des Netzwerkauthentifizierungsservice im LDAP-Verzeichnis füreinen Netzwerkauthentifizierungsservice-Realm.

ksu Wechselt zu einer anderen Benutzer-ID.

ktutil Ermöglicht dem Administrator das Lesen, Schreiben oder Bearbeiten von Einträgen ineiner Chiffrierschlüsseldatei.

kvno Zeigt die aktuelle Schlüsselversionsnummer für einen Principal an.

start.krb5 Startet den Server für den Netzwerkauthentifizierungsservice.

stop.krb5 Stoppt den Server für den Netzwerkauthentifizierungsservice.

unconfig.krb5 Dekonfiguriert die Clients und Services des Netzwerkauthentifizierungsservice.

Weitere Informationen zu diesen Befehlen finden Sie im Handbuch IBM Network Authentication ServiceAIX, Linux, and Solaris Administrator's and User's Guide.

Referenzinformationen für NetzwerkauthentifizierungsserviceProdukthandbücher, Websites und andere Information Center-Themensammlungen enthalten Informatio-nen, die sich auf die Themensammlung für den Netzwerkauthentifizierungsservice beziehen. Sie könnendie bereitgestellten PDF-Dateien anzeigen oder drucken.

Handbücher

Wenn Sie die CD für das AIX Expansion Pack bestellen, können Sie auf die Dokumentation zum Netz-werkauthentifizierungsservice zugreifen. Obwohl die Handbücher für die Betriebssysteme AIX, Solarisund Linux geschrieben wurden, können viele der Befehle für den Netzwerkauthentifizierungsservice auchunter dem Betriebssystem IBM i benutzt werden. Wenn Sie den Netzwerkauthentifizierungsservice auf Ih-rem AIX-System installieren, dann wird die Dokumentation im Verzeichnis /usr/lpp/krb5/doc/pdf/en_USabgelegt.

Wenn Sie das Produkt Network Authentication Enablement (5770-NAE) auf Ihrem System installieren, er-halten Sie außerdem Zugriff sowohl auf die PDF- als auch auf die HTML-Versionen dieser Handbücher,die im Verzeichnis /usr/lpp/krb5/doc/ gespeichert sind.v IBM Network Authentication Service AIX, Linux, and Solaris Administrator's and User's Guide

v IBM Network Authentication Service AIX, Linux, and Solaris Application Development Reference.

Anmerkung: Die genannten Dokumentationen finden Sie auf der CD mit dem Namen AIX 5L Expansion

Pack and Bonus Pack.

Websites

Die folgende Website enthält weitere Informationen zur Konfiguration eines Kerberos-Servers unter z/OS.

v z/OS Integrated Security Services Network Authentication Service Administration

Weitere Themen im Information Centerv Network Authentication Service Application Programming Interfaces (APIs)v Generic Security Service Application Programming Interfaces (GSS-APIs)v Enterprise Identity Mapping (EIM)v Einzelanmeldung

132 IBM i: Netzwerkauthentifizierungsservice

Page 139: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Request for Comments

Requests for Comments (RFCs) sind schriftlich niedergelegte Definitionen von Protokollstandards undvorgesehenen Standards für das Internet. Die folgenden RFCs können zum Verständnis des Kerberos-Pro-tokolls und der zugehörigen Funktionen beitragen:

RFC 1509RFC 1509: "Generic Security Service API: C-bindings" enthält die formale IETF-Definition (IETF =Internet Engineering Task Force) von GSS-APIs.

RFC 1510RFC 1510: "The Kerberos Network Authentication Service (V5)" enthält die formale IETF-Definiti-on (IETF = Engineering Task Force) des Kerberos-V5-Protokolls.

RFC 1964RFC 1964: "The Kerberos Version 5 GSS API Mechanism" enthält die IETF-Definitionen von Ker-beros Version 5 und GSS-API-Spezifikationen.

RFC 2743RFC 2743: "Generic Security Service Application Program Interface Version 2, Update 1" enthältdie formale IETF-Definition (IETF = Engineering Task Force) von GSS-APIs.

RFC 4120RFC 4120: "The Kerberos Network Authentication Service (V5)" erweitert und präzisiert das Ker-beros-Protokoll.

RFC 4121RFC 4121: "The Kerberos Version 5 GSS-API Mechanism: Version 2" aktualisiert und ändert RFC1964.

Sie können die genannten RFCs mithilfe der RFC-Indexsuchmaschine auf der Website für den RFC Editor

anzeigen. Suchen Sie nach der gewünschten RFC-Nummer. Die Ergebnisanzeige der Suchmaschineenthält den entsprechenden RFC-Titel mit Autor, Datum und Status.Zugehörige Verweise:„PDF-Datei für den Netzwerkauthentifizierungsservice” auf Seite 1Sie können diese Informationen als PDF-Datei anzeigen und drucken.

Netzwerkauthentifizierungsservice 133

Page 140: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

134 IBM i: Netzwerkauthentifizierungsservice

Page 141: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Bemerkungen

Die vorliegenden Informationen wurden für Produkte und Services entwickelt, die auf dem deutschenMarkt angeboten werden.

Möglicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte, Services oder Funktio-nen in anderen Ländern nicht an. Informationen über die gegenwärtig im jeweiligen Land verfügbarenProdukte und Services sind beim zuständigen IBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenz-programme oder andere IBM Produkte bedeuten nicht, dass nur Programme, Produkte oder Services vonIBM verwendet werden können. Anstelle der IBM Produkte, Programme oder Services können auch an-dere, ihnen äquivalente Produkte, Programme oder Services verwendet werden, solange diese keine ge-werblichen oder anderen Schutzrechte von IBM verletzen. Die Verantwortung für den Betrieb von Pro-dukten, Programmen und Services anderer Anbieter liegt beim Kunden.

Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentan-meldungen geben. Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbun-den. Lizenzanforderungen sind schriftlich an folgende Adresse zu richten (Anfragen an diese Adressemüssen auf Englisch formuliert werden):

IBM Director of LicensingIBM Europe, Middle East & AfricaTour Descartes2, avenue Gambetta92066 Paris La DefenseFrance

Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser Veröffentli-chung nicht ausgeschlossen werden. Die hier enthaltenen Informationen werden in regelmäßigen Zeitab-ständen aktualisiert und als Neuausgabe veröffentlicht. IBM kann ohne weitere Mitteilung jederzeit Ver-besserungen und/oder Änderungen an den in dieser Veröffentlichung beschriebenen Produkten und/oder Programmen vornehmen.

Verweise in diesen Informationen auf Websites anderer Anbieter werden lediglich als Service für denKunden bereitgestellt und stellen keinerlei Billigung des Inhalts dieser Websites dar. Das über diese Web-sites verfügbare Material ist nicht Bestandteil des Materials für dieses IBM Produkt. Die Verwendung die-ser Websites geschieht auf eigene Verantwortung.

Werden an IBM Informationen eingesandt, können diese beliebig verwendet werden, ohne dass eine Ver-pflichtung gegenüber dem Einsender entsteht.

Lizenznehmer des Programms, die Informationen zu diesem Produkt wünschen mit der Zielsetzung: (i)den Austausch von Informationen zwischen unabhängig voneinander erstellten Programmen und ande-ren Programmen (einschließlich des vorliegenden Programms) sowie (ii) die gemeinsame Nutzung derausgetauschten Informationen zu ermöglichen, wenden sich an folgende Adresse:

IBM CorporationSoftware Interoperability Coordinator, Department YBWA3605 Highway 52 NRochester, MN 55901USA

Die Bereitstellung dieser Informationen kann unter Umständen von bestimmten Bedingungen - in einigenFällen auch von der Zahlung einer Gebühr - abhängig sein.

135

Page 142: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Die Lieferung des in diesem Dokument beschriebenen Lizenzprogramms sowie des zugehörigen Lizenz-materials erfolgt auf der Basis der IBM Rahmenvereinbarung bzw. der Allgemeinen Geschäftsbedingun-gen von IBM, der IBM Internationalen Nutzungsbedingungen für Programmpakete oder einer äquivalen-ten Vereinbarung.

Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer kontrollierten Umgebung. DieErgebnisse, die in anderen Betriebsumgebungen erzielt werden, können daher erheblich von den hier er-zielten Ergebnissen abweichen. Einige Daten stammen möglicherweise von Systemen, deren Entwicklungnoch nicht abgeschlossen ist. Eine Gewährleistung, dass diese Daten auch in allgemein verfügbaren Syste-men erzielt werden, kann nicht gegeben werden. Darüber hinaus wurden einige Daten unter Umständendurch Extrapolation berechnet. Die tatsächlichen Ergebnisse können davon abweichen. Benutzer diesesDokuments sollten die entsprechenden Daten in ihrer spezifischen Umgebung prüfen.

Alle Informationen zu Produkten anderer Anbieter stammen von den Anbietern der aufgeführten Pro-dukte, deren veröffentlichten Ankündigungen oder anderen allgemein verfügbaren Quellen. IBM hat die-se Produkte nicht getestet und kann daher keine Aussagen zu Leistung, Kompatibilität oder anderenMerkmalen machen. Fragen zu den Leistungsmerkmalen von Produkten anderer Anbieter sind an den je-weiligen Anbieter zu richten.

Aussagen über Pläne und Absichten von IBM unterliegen Änderungen oder können zurückgenommenwerden und repräsentieren nur die Ziele von IBM.

Diese Veröffentlichung dient nur zu Planungszwecken. Die in dieser Veröffentlichung enthaltenen Infor-mationen können geändert werden, bevor die beschriebenen Produkte verfügbar sind.

Diese Veröffentlichung enthält Beispiele für Daten und Berichte des alltäglichen Geschäftsablaufs. Sie sol-len nur die Funktionen des Lizenzprogramms illustrieren und können Namen von Personen, Firmen,Marken oder Produkten enthalten. Alle diese Namen sind frei erfunden; Ähnlichkeiten mit tatsächlichenNamen und Adressen sind rein zufällig.

COPYRIGHTLIZENZ:

Diese Veröffentlichung enthält Beispielanwendungsprogramme, die in Quellensprache geschrieben sindund Programmiertechniken in verschiedenen Betriebsumgebungen veranschaulichen. Sie dürfen dieseBeispielprogramme kostenlos kopieren, ändern und verteilen, wenn dies zu dem Zweck geschieht, An-wendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit der An-wendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, für die diese Beispielpro-gramme geschrieben werden. Diese Beispiele wurden nicht unter allen denkbaren Bedingungen getestet.Daher kann IBM die Zuverlässigkeit, Wartungsfreundlichkeit oder Funktion dieser Programme weder zu-sagen noch gewährleisten. Die Beispielprogramme werden ohne Wartung (auf "as-is"-Basis) und ohne jeg-liche Gewährleistung zur Verfügung gestellt. IBM übernimmt keine Haftung für Schäden, die durch dieVerwendung der Beispielprogramme entstehen.

Kopien oder Teile der Beispielprogramme bzw. daraus abgeleiteter Code müssen folgenden Copyrightver-merk beinhalten:

© (Name Ihrer Firma) (Jahr). Teile des vorliegenden Codes wurden aus Beispielprogrammen der IBMCorporation abgeleitet.

© Copyright IBM Corporation _Jahr/Jahre angeben_.

Informationen zu ProgrammierschnittstellenIn der vorliegenden Veröffentlichung werden vorgesehene Programmierschnittstellen dokumentiert, mitderen Hilfe Kunden Programme für den Zugriff auf die Services von IBM i schreiben können.

136 IBM i: Netzwerkauthentifizierungsservice

Page 143: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

MarkenIBM, das IBM Logo und ibm.com sind Marken oder eingetragene Marken der International Business Ma-chines Corporation in den USA und/oder anderen Ländern. Weitere Produkt- und Servicenamen könnenMarken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf derWebseite „Copyright and trademark information” unter www.ibm.com/legal/copytrade.shtml.

Adobe, das Adobe-Logo, PostScript und das PostScript-Logo sind Marken oder eingetragene Marken derAdobe Systems Incorporated in den USA und/oder anderen Ländern.

Linux ist eine eingetragene Marke von Linus Torvalds in den USA und/oder anderen Ländern.

Microsoft, Windows, Windows NT und das Windows-Logo sind Marken der Microsoft Corporation inden USA und/oder anderen Ländern.

Weitere Produkt- und Servicenamen können Marken von IBM oder anderen Unternehmen sein.

BedingungenDie Berechtigungen zur Nutzung dieser Veröffentlichungen werden Ihnen auf der Basis der folgenden Be-dingungen gewährt.

Persönliche Nutzung: Sie dürfen diese Veröffentlichungen für Ihre persönliche, nicht kommerzielle Nut-zung unter der Voraussetzung vervielfältigen, dass alle Eigentumsvermerke erhalten bleiben. Sie dürfendiese Veröffentlichungen oder Teile der Veröffentlichungen ohne ausdrückliche Genehmigung von IBMweder weitergeben oder anzeigen noch abgeleitete Werke davon erstellen.

Kommerzielle Nutzung: Sie dürfen diese Veröffentlichungen nur innerhalb Ihres Unternehmens und un-ter der Voraussetzung, dass alle Eigentumsvermerke erhalten bleiben, vervielfältigen, weitergeben undanzeigen. Sie dürfen diese Veröffentlichungen oder Teile der Veröffentlichungen ohne ausdrückliche Ge-nehmigung von IBM außerhalb Ihres Unternehmens weder vervielfältigen, weitergeben oder anzeigennoch abgeleitete Werke davon erstellen.

Abgesehen von den hier gewährten Berechtigungen erhalten Sie keine weiteren Berechtigungen, Lizenzenoder Rechte (veröffentlicht oder stillschweigend) in Bezug auf die Veröffentlichungen oder darin enthalte-ne Informationen, Daten, Software oder geistiges Eigentum.

IBM behält sich das Recht vor, die in diesem Dokument gewährten Berechtigungen nach eigenem Ermes-sen zurückzuziehen, wenn sich die Nutzung der Veröffentlichungen für IBM als nachteilig erweist oderwenn die obigen Nutzungsbestimmungen nicht genau befolgt werden.

Sie dürfen diese Informationen nur in Übereinstimmung mit allen anwendbaren Gesetzen und Verord-nungen, einschließlich aller US-amerikanischen Exportgesetze und Verordnungen, herunterladen und ex-portieren.

IBM übernimmt keine Gewährleistung für den Inhalt dieser Veröffentlichungen. Diese Veröffentlichungenwerden auf der Grundlage des gegenwärtigen Zustands (auf "as-is"-Basis) und ohne eine ausdrücklicheoder stillschweigende Gewährleistung für die Handelsüblichkeit, die Verwendungsfähigkeit oder die Frei-heit von Rechten Dritter zur Verfügung gestellt.

Bemerkungen 137

Page 144: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

138 IBM i: Netzwerkauthentifizierungsservice

Page 145: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

Page 146: IBM i: Netzwerkauthentifizierungsservice€¦ · IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM Confidential IBM Confidential IBM Confidential IBM Confidential

IBM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial I

BM

Con

fiden

tial

����

Programmnummer: 5770-SS1